COSO「サステナビリティ報告に関わる内部統制構築のための補足ガイダンス」の解説

2023年3月30日、米国トレッドウェイ委員会支援組織委員会（以下、COSO）は、“Achieving Effective Internal Control over Sustainability Reporting (ICSR): Building Trust and Confidence through the COSO Internal Control-Integrated Framework”（以下、ICSRガイダンス）を公表しました。これは、1992年の公表以来、グローバルスタンダードとして幅広く利用されている「内部統制 - 統合的フレームワーク」（以下、ICIF）を用いて、サステナビリティ^＊1報告に関わる内部統制（以下、ICSR）を構築するための補足ガイダンスです。

本稿では、ICSRガイダンス公表までの歩み、およびICSRガイダンスの主なコンテンツを紹介した上で、ICSR構築の実務に役立つポイントについて解説します。

1. ICSRガイダンス公表までの歩み
2. ICSRガイダンスの主なコンテンツ
3. ポイント（1）：先行して取り組む組織の経験から得た8つのインサイト
4. ポイント（2）：ICIF-2013原則の補足説明

1992年にCOSOが公表したICIFは、公表以来、グローバルスタンダードとして幅広く利用されている内部統制構築のフレームワークです。当初、「財務報告」が内部統制の目的の1つとされていましたが、企業を取り巻く環境の変化に伴って非財務情報の報告の重要性が高まったことから、2013年の改訂では、財務報告以外も含めたカテゴリーに拡張され、「報告」目的とされました。このように、ICIF-2013はサステナビリティ報告にも適用可能なフレームワークであるものの、実務上は、サステナビリティ報告に関わる内部統制の構築に取り組む企業は少数にとどまったのが実情でした。

このような状況を受けて、2017年、3人の共著者による論文“Leveraging the COSO Internal Control—Integrated Framework to Improve Confidence in Sustainability Performance Data”が発表されました。これは、過去20年以上にわたるICIFの財務報告への適用から得た知見を活かし、サステナビリティパフォーマンスデータの信頼性向上のためにICIFの活用を研究した論文です。この論文の発表を受けて、企業におけるICIFを活用したICSR構築の取組みは徐々に拡大したものの、サステナビリティ報告の信頼性の向上が依然として求められる状況にありました。

サステナビリティ報告の信頼性向上に向けて、企業のICSR構築の取組みをさらに加速させるため、2017年の論文を参照・発展させて、ICSRガイダンスが2023年3月にまとめられました。

ICSRガイダンスの主なコンテンツは、以下のとおりです。

• 提言：サステナブルビジネス^＊2情報における信頼と信用の構築
• 背景
• ICIF-2013原則のサステナビリティ報告への適用：サステナビリティ報告に関する内部統制（ICSR）の構築
• Top 10 Takeaways

サステナブルビジネス情報の信頼性を確保するためにはICSRの構築が必要であり、このICSR構築の進め方に関して、主に3つの提言をしています。

1. ICIF-2013を活用したICSR構築アプローチ（5つのアクションポイント） ICIF-2013を活用したアプローチ（すなわち、パーパスの明示と誠実性へのコミット、目的の決定、リスク評価、統制活動の識別、有効性評価、という5つのアクションポイント）を用いてICSR構築を進めることを推奨。このアプローチを採用することにより、データの質、有用性、比較可能性、信頼性が向上し、組織内外の情報利用者がより良い情報に基づいて意思決定可能になる等のメリットが得られる。
2. データ管理方法の改善にあたっての考慮事項 組織内外の情報利用者の意思決定にとって有用なサステナブルビジネス情報を提供するためには、データ管理方法の改善が重要であり、改善にあたっての考慮事項（例えば、データガバナンスの方針を遵守しているか、既存の報告システムと統合して管理しているか等）を提示している。 サステナブルビジネス情報の有用性という観点で、財務情報や業務データと関連付けることは非常に価値がある。外部投資家や内部のマネジメント等の情報利用者は、企業価値を評価する際に、財務情報と関連付けられたサステナブルビジネス情報を求めている。また、業務データは、リアルタイムに把握されることにより問題解決に役立つことから、サステナブルビジネス活動を支援する、意思決定に有用な情報ともなり得る。
3. 先行して取り組む組織の経験から得た8つのインサイト 先行して取り組む組織の経験を基に、ICSRの構築を進めるにあたって留意すべき8つの重要事項を提示（ポイント（1）：後続で詳細を解説）。

ICSRガイダンスの理解に役立つ背景情報（ICIF-2013の概要、サステナブルビジネス情報の目指すゴールと情報利用者、サステナビリティ報告制度の概要、従来の財務情報との違い等）を提供しています。

ICIF-2013の17原則それぞれをサステナビリティ報告に適用するにあたっての補足説明を提供しています。補足説明には、サステナビリティ報告の観点での解釈、および、サステナビリティ報告への適用事例が含まれます（ポイント（2）：後続で詳細を解説）。

ICSR構築のために組織がいますぐ着手するべきことを提示しています。例えば、内部統制確保への責任ある関与、組織の状況に応じたICIF-2013原則の適応、内部統制運用の最適な役割と責任の決定等です。

先行して取り組む組織の経験を基に、ICSRの構築を進めるにあたって留意すべき8つの重要事項を提示しています。

1. 組織の個々人が説明責任を果たす文化を醸成する 組織の意思決定者だけでなく、サステナビリティ情報の収集、検証、管理、伝達に関わるすべての個々人が、重要課題に関する組織のパフォーマンスの戦略的重要性を理解し、説明責任を果たすことが、有効な内部統制構築のためには不可欠である。
2. パーパスとさまざまな目的の相互関係を再確認する ICIF-2013が示すように、組織のさまざまな目的が、組織全体でバランスが取れ、調和し、理解されていることが、有効な内部統制構築のためには重要。そして、組織のさまざまな目的のバランスを取るため、組織のパーパスと整合しているかの確認が重要である。
3. クロスファンクショナル・チームを設立する クロスファンクショナル・チームは、サステナビリティに関連する課題、指標、統制を評価するにあたって、多様な視点と専門家を提供する。財務・会計、サステナビリティ、環境・衛生・安全（EH&S）、リスクマネジメント、内部監査、IR、戦略、業務、IT、コンプライアンス、人事、法務など、多様な部門から参加（場合によっては、バリューチェーンの主要なパートナーも参加）することが望ましい。
4. 既存の専門知識を活用する 財務経理部門は、内部統制だけでなく、データの測定、管理、報告、分析に関する経験と理解を有しており、サステナブルビジネス情報に対する内部統制の設計、確立、維持を推進するのに適した立場にある。また、業務部門は、組織が、商品・サービスを実際にどのように生産・提供しているかについての貴重な洞察を有している。
5. 既存の統制を活用する 財務報告に係る内部統制の一部として既に存在するプロセスを修正し、サステナビリティ情報に適用することができる。例えば、財務データに係るデータガバナンス方針やIT統制を、サステナビリティデータに関わる内部統制システムの設計と開発において活用することができる。
6. 有効な技術やプラットフォームを活用する サステナブルビジネス情報を取り巻くシステムは未熟であることが多く、正式な統制がほぼ存在しないスプレッドシートに依拠している状況がみられる。サステナブルビジネス情報を、すでに統制が確立されたITプラットフォームに組み込むことで、情報の信頼性を大幅に向上させることができる。
7. 意思決定の有用性（重要性の概念）に焦点をあてる 例えば、サステナビリティレポートに多数の指標が含まれ、多大な時間、労力、コストがかかる場合がある。「意思決定の有用性」という観点から捉えることで、最も重要な少数の指標に焦点を絞ることができる。
8. 早期に開始する 内部統制システムの設計と改良には時間がかかるため、早急に検討を開始することが重要である。

改正開示府令に対応した有価証券報告書作成等、サステナビリティ報告に取り組まれている企業の中には、これらの点で課題に直面されている企業も多いのではないでしょうか。例えば、改正開示府令対応において、経理部門が開示業務の進捗管理や品質管理を担ったが、サステナビリティ部門やリスクマネジメント部門等とのコミュニケーションに時間がかかり、必要な情報を適時に収集することが困難だった、といったケースはなかったでしょうか。このような課題に直面している企業の場合、クロスファンクショナル・チームを設立して開示業務に取り組むことで、コミュニケーションが円滑になり、必要な情報を適時に収集可能となり、サステナビリティ報告の信頼性向上につながる可能性があります。

このように、ICSR構築の実務において生じる課題について、8つの重要事項に照らし合わせて対処することで、効率的に実務を進めることができます。ぜひ実務にお役立てください。

「ICIF-2013原則の補足説明」の構成は、図表1のとおりです。

図表1の右側に示したとおり、ICIF-2013では、内部統制の5つの構成要素（統制環境、リスク評価、統制活動、情報と伝達、モニタリング活動）に関連する基本的な概念を17の原則で表しています。また、各原則に関連する重要な特性を、87の着眼点として整理しています。

ICSRガイダンスでは、17の原則それぞれについて、サステナビリティ報告の観点での解釈、および、サステナビリティ報告への適用事例が記載されています。また、87の着眼点それぞれについても、サステナビリティ報告の観点での解釈が記載されています。

原則13を例に、具体的な記載内容および実務上の活用方法について解説します（図表2参照）。

ICSRガイダンスでは、まず、「原則」をICIF-2013から引用したうえで、「原則のサステナビリティ報告の観点での解釈」を記載しています。また、原則に関連する特性を示した着眼点についても同様に、「着眼点」をICIF-2013から引用したうえで、「着眼点のサステナビリティ報告の観点での解釈」を記載しています。

実務上は、着眼点およびその解釈と、自社の統制状況を照らし合わせて、統制の不足がないか確認し、その確認結果を総合して、自社の統制に原則が適用されているかを判断することが考えられます。例えば「内部および外部の情報源からのデータの捕捉」の着眼点の場合、サステナブルビジネス活動を効果的に監視するシステムの実現に必要なデータを、内部および外部の情報源から捕捉できるプロセスが構築されているか、という視点で自社の統制状況を確認することが考えられます。これ以外の着眼点についても同じように確認し、それらの結果を総合して、原則13「組織は、内部統制が機能することを支援する、関連性のある質の高い情報を獲得または作成して利用する」が自社の統制に適用されているかどうか判断することが考えられます。

さらに、ICSRガイダンスでは、「原則の、サステナビリティ報告への適用事例」も記載されています。

実務上は、この適用事例を、統制をどのように実務に組み込むかのヒントとして活用することが考えられます。例えば、着眼点との照らし合わせで、内部および外部の情報源からのデータの捕捉が現状では不十分と判断した場合に、対応策として、ブロックチェーンを用いて、サプライヤーから調達する原材料の移動情報の追跡を新たに実施することで、内部統制が機能するために必要なデータを収集できるかどうか検討する、といった活用方法が考えられます。あるいは、内部統制をさらに高度化させるため、ブロックチェーンのようなデジタル技術や、その他の業務データを活用して、サステナブルビジネス活動を支援する有用な情報を作成できないか検討する、といった使い方も考えられます。

このように、「ICIF-2013原則の補足説明」はICSRのベンチマーク（あるべき姿のヒント）を示しており、自社の統制の不足がないかの確認、および統制をどのように実務に組み込むかの検討に活用できます。ぜひ実務にお役立てください。

（ICSRガイダンスにおける用語の定義）^＊1 サステナビリティ：今の必要性の充足に際し、将来世代に対し禍根を残さないように、対応すること。

^＊2 サステナブルビジネス：継続企業の前提のもとに組織が長期的に存在し、組織の目的達成のために資源を提供するすべてのステークホルダーの期待に応じた価値を提供するための活動や取引。サステナブルビジネス情報（またはサステナブルビジネス報告）は、組織のサステナブルビジネスに関わる活動や取引を反映したデータや情報を意味する。

KPMGサステナブルバリューサービス・ジャパン 有限責任 あずさ監査法人　サステナブルバリュー統轄事業部 宇田川 真司