COSO

COSOとは、内部統制に関する調査のために設立された組織、またはこの委員会が1992年に公表した内部統制のフレームワークのことを指す. the Committee of Sponsoring Organization of the Treadway Commission、トレッドウェイ委員会組織委員会.

COSO(米国標準化団体)
COSOとは、内部統制やERM（Enterprise Risk Management）のフレームワークの世界標準を公表した米国の団体である.

COSOの成り立ち
1970年代から1980年代にかけて、米国では企業の粉飾決算や経営破綻が相次ぎ、社会的・政治的問題となっていた. この状況を受けて、米国公認会計士協会（AICPA)が、 に働きかけ、産学官共同の研究組織として、「不正な財務報告に関する国家委員会」（トレッドウェイ委員会）を組織した. このとき、トレッドウェイ委員会を財政的に支援するため、トレッドウェイ委員会組織委員会（COSO）が設立された. トレッドウェイ委員会は、1987年に「不正な財務報告に関する委員会報告書」の公表により活動を終えた. しかし、内部統制の概念をどう定義し、共通の枠組みを作るかという課題が残され、これをCOSOが引き継ぎ、不正防止と内部統制に関する活動を開始した.
 * 米国会計学会（AAA)
 * 米国財務担当役員協会（FEI)
 * 米国内部監査人協会（IIA）
 * 米国会計人協会（NAA:後の米国管理会計人協会)

COSOの活動
主な活動は以下の通り.
 * 1985年:トレッドウェイ委員会の支援団体として設立.
 * 1987年:トレッドウェイ委員会の活動が終了.
 * 内部統制のフレームワークを提示することを目的として、COSOが活動開始する.


 * 1992年:報告書「Internal Control - Integrated Framework：内部統制の統合的なフレームワーク」を提出.
 * これは、
 * 要約
 * フレームワーク
 * 外部関係者への報告
 * 評価ツール
 * 『外部関係者への報告』の追補（1994年）
 * の5分冊からなる文書で、基本的な理論や考え方に加え、内部統制評価ツールなど内部統制の具体的な方法論と枠組みを示している.
 * この報告書が内部統制の標準的な枠組み（COSOフレームワーク）として認められる.


 * 2002年:アメリカでSOX法が成立
 * COSOフレームワークを内部統制フレームワークとして採用することが規定された.


 * 2004 年:さらに内部統制システムを有効に機能させるため、「全社的リスク管理の統合的枠組み（Enterprise Risk Management -- Integrated Framework）」を発表し、ERMを広く定義付け、基本的概念を強調し、共通言語と全社横断的な効果リスクマネジメントの指針を提供した.
 * 2006 年:報告書「小さな上場企業の財務報告に関する内部統制のガイダンス（Internal Control over Financial Reporting -- Guidance for Smaller Public Companies）」を提出. これによって小さな上場企業に係る財務報告に関する内部統制の評価、経営者の評価および外部監査人の監査報告に利用されることになった.
 * 2008年:「内部統制システムのモニタリングに対するガイダンス（Guidance on Monitoring Internal Control）」の草案を提出.

COSOフレームワーク
COSOが定義する内部統制とは、以下の3つの目的と、目的を評価するための5つの要素から構成されている. 内部統制は、以下の範疇に分けられる目的の達成に関して合理的な保証を提供することを意図した、事業体の取締役、経営者、およびその他の構成員によって遂行されるプロセスである.
 * 目的:
 * 業務活動の有効性及び効率性
 * 財務報告の信頼性
 * 関連法規の遵守


 * 評価の要素:
 * 統制環境(Control environment)　-　企業活動における統制活動に影響を及ぼす企業の風土などを含む企業環境.
 * リスク評価 (Risk assessment)　-　企業におけるリスクの分析・評価を行う手続きや評価基準.
 * 統制活動 (Control activities)　-　企業内における指示系統が適切に、連絡・実施されるための仕組みや手続きの確保.
 * 情報とコミュニケーション (Information and communication)　-　適切な情報が正しく組織の中を伝達され、必要関係者に対してそれが適切に伝えられる運用を確保する.
 * 監視活動 (Monitoring activities)　-　内部統制が有効に運営されているかを継続的に監視する.

「内部統制の目的を達成するためには、構成要素のどこを整備・機能させるかの関係を示し、かつ、会社組織・事業の全体がサポートしなければ、内部統制目的の達成を実現できない」という関係を図示したものがCOSOキューブ（図１）である. COSO フレームワークでは従来、財務報告の適正性を目的とする活動としてとらえられていた内部統制概念を一新し、コンプライアンスや経営方針・業務ルールの遵守、経営および業務の有効性・効率性の向上などより広い範囲を対象とした. 現在では、内部統制フレームワークの世界標準として、日本でもJ－SOXでの内部統制フレームワークの基礎とされている.

ERMフレームワーク


全社的リスクマネジメント・フレームワーク（ERMフレームワーク）は、従来のCOSOフレームワークを補完的に拡張し、リスクの観点からマネジメントと内部統制を統合したものとなっている. このため、COSOフレームワークとの整合性があることから、今後のERMフレームワークの世界標準となっていくことが期待される. ERMの全体像を表すCOSOキューブを図２に示した.
 * 目的カテゴリー ：従来の3つの目的カテゴリーに「戦略」が加わり目的カテゴリーが4つとなった.
 * 構成要素 ：従来の5つの構成要素に加えて「目的設定」、「事業認識」、「リスク対応」の3つが加わることで、構成要素が8つとなった.

COSOフレームワークの広がり
COSOフレームワークは内部統制フレームワークの世界標準となっており、内部統制の指針のベースとして各国・各分野に広がっている.
 * カナダ：「CoCo統制モデル」 - CoCo（Control Committee）（1995年）
 * オーストラリア：「ACC（Australian Criteria of Control：オーストラリア統制基準）」 - オーストラリア内部監査人協会（1998年）
 * イギリス：「銀行組織における内部管理体制のフレームワーク」 - バーゼル銀行監督委員会（1998年）
 * 「ターンバル・レポート」- イギリス・ウェールズ勅許会計士協会のコーポレートガバナンス委員会とロンドン証券取引所が協力(1999年)

日本においても、 などが、COSOフレームワークの影響を受けている. 日本の金融庁が検討している日本版ＳＯＸ法のフレームワークにおいては、目的として「資産の保全」が、基本的要素として「IT（情報技術）への対応」が追加され、４つの目的と６つの要素から構成されていることが特徴である.
 * 「金融検査マニュアル」 - 金融庁（1999年）
 * 「改訂監査基準」 - 金融庁 企業会計審議会（2002年）
 * 「統制リスクの評価」 - 日本公認会計士協会 監査基準委員会報告書（2002年）
 * 「リスクマネジメントと一体となって機能する内部統制の指針」 - 経済産業省 リスク管理・内部統制に関する研究会（2003年）

関連記事

 * 内部統制
 * COBIT
 * SOX

参考文献

 * COSO
 * 先進企業から学ぶ事業リスクマネジメント実践テキスト　経済産業省
 * SOX法対応とBPMの関係とは？ @IT情報マネジメント
 * COSOフレームワーク @IT情報マネジメント
 * 日本版SOXへの対応について NTTデータ経営研究所
 * 財務報告に関する内部統制　横山会計事務所
 * 内部統制からERM(全社的リスク管理)へ　第一生命経済研究所