トレッドウェイ委員会の勧告を受けて、1992年9月、COSO報告書『内部統制「包括的フレームワーク』が公表された。COSOというのはトレッドウェイ委員会の後援団体の委員会(Committee of Sponsoring Organizations of the Treadway Commission)のことである。
COSOの第1の目的は、内部統制ということばで意味されるものが人によってあまりにもまちまちである状況を整理するということである。内部統制はつぎのように定義されている。
「内部統制は、会社の取締役会、経営者その他の人々に影響され、以下の分野の目標の達成について合理的保証を提供するよう設計されたプロセスである。
a.業務の有効性と効率性
b.財務報告の信頼性
c.適用される法規への準拠性」20)
COSOの第2の目的は、さまざまな組織で内部統制を評価し改善するための有効性の基準を提供することである。内部統制はプロセスであるが、内部統制の有効性の基準は、つぎのような一定時点での主観的な判断である。
「内部統制は、会社の取締役会と経営者が、3つの分野に対応して、以下の事項について合理的な確信を持っていれば、有効であると判断できる。
a.企業の業務目標が達成される範囲を理解していること
b.公表財務諸表が信頼できるよう作成されること
c.適用される法規に準拠すること」21)
そこで、内部統制の構成要素をつぎのとおり5つとし、それが整備され機能していれば有効であるとする判断基準のようである。
a.統制環境-これはトレッドウェイ委員会を踏襲している。22)
b.リスク評価-リスク評価は目標の達成に関連するリスクの識別と分析であり、リスクをどう管理するか判断する基礎である。リスク評価の前提条件として、経営者による目標の設定が必要である。23)
c.統制活動-統制活動は、目標の達成に関連するリスクを管理するために、経営者によって命令された行動が実施されたことを確認する方針と手続である。24)
d.情報および伝達-人々がその責任を遂行するためには、適切な情報が適時に伝達されなければならない。25)
e.監視活動-監視活動は、時間の経過にともない変化する内部統制の状況を評価する過程である。26)
COSO報告書は4分冊の構成になっている。第1分冊は『エグゼクティブ・サマリー』、第2分冊は上に説明した『フレームワーク』、第3分冊は『外部への報告』、第4分冊は『評価手引書』である。COSO報告書の本体はあくまで『フレームワーク』であり、その他は付随的な性格のものである。
資料2が外部への報告書のひな形27)である。財務報告の信頼性に関する内部統制についての経営者報告書に限定されている。1991年の連邦預金保険公社改革法では、財務報告の信頼性と法規への準拠性に関する内部統制について、経営者報告書と公認会計士のアテステーション報告書が要求されている。28) これに関連して、アメリカ会計検査院は、「COSO報告書は、実際には、公共の利益から手を引くことを要求している。」29)と批判している。
アメリカ公認会計士協会は、1993年5月、アテステーション契約基準書(SSAE)第2号『財務報告に関する企業の内部統制構造の報告』を公表した。これは監査基準書第30号『内部会計統制の報告』に代るものである。資料3がアテステーション報告書のひな形30)である。報告書の意見区分は、経営者が内部統制の有効性を判断する基準として、COSO報告書によって確立された基準を例示している。
さらに、アメリカ公認会計士協会は、SSAE公開草案『準拠性アテステーション』を公表している。これはCOSO報告書の法規への準拠性に関する内部統制に対応するものである。ここではCOSO報告書の基準は一般的なものを述べたものであり、報告書の記載はより具体的に適用される法規を特定することが求められている。
COSO報告書が今後どのように発展するかはわからない。しかし、内部統制の整備とディスクロージャーが、法制化される傾向にある。また、その監督にあたるSECや会計検査院の要求も強まっているようである。将来的には国際内部統制基準のようなものも考えられる。そうであるとすれば、日本企業にとって、国際会計基準や国際監査基準どころではない、大きな影響が考えられる。