COSO の Internal control framework

Internal control の検証は、一般的に COSO の Fremework により行われる。

COSOは、アメリカのCommittee of Sponsoring Organizations of the Treadway Commission、トレッドウェイ委員会組織委員会、委員会を2回言いたい委員会、な人たちが発表した Internal control(内部統制)の代表的なフレームワーク。

SOX法で適用が義務付けているわけではないが、今では事実上国際的な標準フレームワークになっている。

POINT

・COSOのObjectivesは Effective and efficiency of Operation、Reliability of Financial reporting、Compliance with applicable laws and regulations

Objectives

COSOでは、3つの Internal control の Objectives をさだめている。

これらの Objectives に対する Responsibility は Management にある。Tone at the top や Corporate culture はこれらに影響を与える。

  • Operation
  • Reporting
  • Compliance
Strategy は Internal control の Objective にはない。

Operation

Effective Efficiency な Operation を行う。

この Operation には、Operational performance goals、Financial performance goals、Safeguarding of assets が含まれる。

Budget の範囲内で Expense が発生していなければならない。

Reporting

Reliability Timeliness、かつ Transparency な Financial reporting を行う。

他に Entity の Policyで規程された Policy があれば従う。

Compliance

Compliance with applicable laws and regulations 。法令遵守。

Cost-benefit は常に考慮しなけらばならない。 

Definition

COSO による Internal control の定義。

Internal control は、会社全体が Operations、Reporting、Compliance の Object 達成のために、Reasonable assurance を Provide する Process。

Internal control は、全社レベルだけでなく部門や業務プロセスレベルでも実施できる。

Components

COSOでは、Internal control は5つの Components で構成されているとしている。

  • Control Environment
  • Risk Assessment
  • Control Activities
  • Information and Communication
  • Monitoring

Effectiveness

Internal control の有効性。

Effectiveness を満たす要件

  • Present and Functioning
  • Operating together

5つの Internal control components が Present で Functioning であり、そんでもって Integrated されて Operating されていれば、Internal control が Effectiveness であるといえる。

Deficiencies

Internal control の欠陥。

以下のような Deficiency を Evaluateする。

  • Design deficiency
  • Operating deficiency
  • Significant deficiency
  • Material weakness

Material weakness がもっとも重大な Deficiencyで、Financial statement の Misstatement(虚偽表示)につながる恐れがある。Material weakness と Significant deficiency が発覚したら書面で報告する。

Dificiency の Severity の度合いを決定する要因に以下のようなものがある。

  • Materiality
  • Mitigating controls
  • Intent of the involved individuals
  • Strength of the overall control environment
  • Nature of the identified control deficiency and compensating controls
  • Presence of other control deficiencies

Inherent limitation

Internal control の固有の限界。どんなに Internal control がすぐれていても、人間はミスをする。Collusion や Management override も Inherent limitation。

Failure reason

Control system が Fail する原因。

  • Control が Properly に Design されていない
  • Control が Properly に Implement されていない
  • Environment changes による Controls ineffective
  • System の Way を Changes したことによる ineffective
Management override は Failure reason ではなくて Inherent limitation