日本版SOXと経営者のマネジメント

『ある道を進んで繁栄を味わった人は、どうしてもその道から離れる気になれない』

唐突ですが、これは、鋭い洞察で知られるマキアヴェッリの『君主論』25章からの一節です。

今回は、いろいろと語られることが多くなってきた日本版SOXについて取り上げてみます。重い話題ですが、まずは現状を見ていき、これをマネジメントの観点から考えてみましょう。

米国SOX

米国企業改革法、いわゆるSOX法は、米国流に起案した議員の名前を取った「Sarbanes-Oxley Act」のことで、エンロン事件などの教訓から制定された、企業会計を厳しく統制する法律です。米国証券取引委員会（SEC）に登録している企業は、すべてこの法律に従うことが義務付けられています。

私たちCAはNYSEに上場（シンボルもCA）していますので、当然対象企業ですし、日本法人も例外ではありません。私たち含め全世界の社員が、CA自社開発のQMS（品質マネジメントシステム）に従って業務遂行を行っています。

また日本企業でも、SECに登録しているグローバル企業ならば、同じようにSOXへの対応が課されます（実際には外国企業の適用時期は延長されましたが）。私たちのお客様でも、検討に追われている様子を伺っています。

草案とパブコメ

2004年12月、金融庁は「金融改革プログラム」を発表しました。これは、ペイオフ解禁の円滑実施、偽造カード犯罪対策、四半期決算、バーゼルII導入などとともに、「企業開示制度のいっそうの充実」という項目も含まれた、総合的な施策です。いわゆる「日本版SOX」の議論は、ここから具体化しました。

米国同様、日本でも企業幹部による粉飾決算や不正会計という事件は発生しています。環境や企業風土などが違うとはいえ、対岸の火事という訳にはいきません。経済活動がグローバル化する中、日本で発生した金融ショックが世界を駆け巡る…なんていう事態は、当然想定し得ることです。外国の機関投資家も増え、アジアとの競争を繰り広げる日本企業にとって、企業価値の維持は、国内経済だけに関わるものではないからです。

そういった訳で、金融庁の企業会計審議会・内部統制部会から公開されたのが、「財務報告に係る内部統制の評価及び監査の基準」と題された草案です。名前にもあるように、財務報告、いわゆる「ディスクロージャ」の信頼性を担保するために、財務報告書の内容に及ぼす企業活動について、企業には適正化を促し、監査人にはそれを評価するように義務付けるものです。

公開草案に対しては、7月13日から8月31日の間パブリックコメントの募集が行われ、各所からのフィードバックが部会に寄せられていた様子です。私も草案の内容や、いくつかの団体からの意見に目を通しました。やはり、米国SOXでは統制が厳しかったことへの見直しや、実務に落としたときの影響について、いろいろな議論が生まれています。

これを書いている時点では、「日本版SOX」と呼ばれているものには正規の名前がありませんし、法案になる前の段階という状況です。11月10日にパブコメ募集後初の部会が再開し、修正が行われたり、個別指針の検討が決まったりと、引き続き議論されているようです。具体的な内容や今後のスケジュールもまだ公開されていませんが、おそらく来年には、証券取引法の改正法案として国会に提出されるのではないか…と言われています。

内部統制とは

さて、法案の内容はまだ確定はしていない訳ですが、確実に言えることは、いつかはそれがやってくる、ということです。法制の趣旨は、企業を困らせたり、厳しい制約を課したりすることではもちろんなく、国内金融市場をより信頼のおけるものにする、というところにあります。企業には負担となる面も確かに大きいですが、自社内業務を効率化させ、企業価値を向上させるという面もあります。

それでは、日本版SOXに対応する、というのはどういうことでしょうか。草案の名前にも含まれていますが、「内部統制（英語ではInternal Control）」がキーワードです。つまり、企業内部のさまざまな業務プロセスについて、企業の経営目的に沿ってきちんと活動が行われるように促すことです。日本版SOXでは、この業務の範囲が「財務報告の信頼性」に関わるもの、と規定（限定）されていることになります。日常の受発注活動や売り上げ集計、在庫、償却などが該当しそうです。当然それ以外はおろそかでよいということではなく、法制の目的からこのように定義されています。

内部統制というのは具体的にはどういう仕組みでしょう。詳しい解説は省きますが、草案では6項目の基本要素が示されています。内部統制にはいわゆる「COSOの内部統制フレームワーク」というデファクトスタンダードがあります。日本版SOXの基本要素のうち5つは、これを参照しているようです。統制環境を整備し、リスクについて評価と対応のプロセスを適用し、業務指示を適切に実行することを確保し、目標やプロセスといった情報をきちんと伝達し、それらがすべて有効に機能していることを監視する、といったことが含まれます。また日本版SOXでは6つ目としてITの役割が強調されているのが特徴です。企業活動にとって、ITは不可欠な存在のため、これを明記したのでしょう。

これに責任を持つのは誰でしょう。他でもない、経営者です。経営者が、企業風土から仕組み作り、最終的な財務報告の信頼性確保まで、すべての責任を負う必要があります。つまり、トップの適切なオーナーシップがあって初めて実現できることです。

SOXとITIL

さて、ITの話題にきました。「日本版SOXは財務報告が対象だから、経理部とERPだけの話では」なんて訳にはいきません。財務報告に関わりを持つことになる、あらゆるプロセス、部門・社員、システムが、何らかの関りを持つことになります。その程度については、おそらく業務指針が出てくることでしょう。まず監査の範囲を特定し、内部統制に関わる業務プロセスを定義し、社内で共有し、監視・改善し、それらの有効性を元に、内部統制報告書を作成し、監査人の監査を受けることになります。

いうまでもなく、企業活動のさまざまな場面でITは使われていますし、共有・監視・報告などは、ITの力を借りなければそれこそ膨大な手作業に忙殺されてしまいます。ITの役目が重要とされるゆえんです。

ITを活用して内部統制を実践する上では、ITILやCOBITといったフレームワークが非常に役に立ちます。

まず、経営層のコミットメントとIT部門の協働は、ちょうどITILを企業に導入する上での必要条件とも合致します。内部統制の実行プロジェクトを発足し、プロセスを定義していく過程は、ITとビジネスの展望と整合性に繋がります。企業ポータルなどを通じて業務プロセスの情報伝達を行えば、統制活動を実践でき、プロセス変更の周知徹底も容易です。効率化や適正化に向けた日常業務の改善へと迅速に対応するには、ビジネスプロセスマネジメント（BPM）といった戦略的なアプリケーションを展開するほうが有利でしょう。また、受発注や集計など会計の基礎情報を扱う既存アプリケーションに、新しい事業ルールを反映するとき、それが裏帳簿を作るための工作ではなく適正な仕様変更であることを記録するため、厳密な変更管理が求められます。派遣社員の不正を未然に防ぐため、アクセス制御や監査証跡の記録も必要でしょうし、牽制を働かせるために依頼者と承認者の認証プロセスを分離することも必要です。重要な売り上げ情報の喪失によって会計処理にダメージを与えないよう、データは確実に保護し、万全の復旧計画を立て、万一の場合にもITサービス継続性管理に従って復旧し、リスクコントロールを適切に行ったことが監査できるようにすべきです。

さて、いかがでしょう。ITを使ったマネジメントシステムは、大活躍ですね。しかも、日本版SOXのためだけに仕立てられた特別の手法や概念を使うのではなく、どれもITILなどではおなじみのプロセスばかりです。このように、ITILをきちんと実践することが、結果的に日本版SOXのような特定の統制目標にも、大いに役に立つのではないでしょうか。

私たちの米国のお客様でも、サービスデスクによる変更管理・インシデント管理を活用して監査報告に添付する、あるいはアイデンティティ管理やアクセス制御といったセキュリティソリューションを活用しています。CAでもバックアップテープの外部保管からプロジェクトポートフォリオ管理まで、マネジメント技術をフルに活用しています。

企業を預かる経営者として

さて、冒頭のマキアヴェッリの言葉に戻りましょう。これは、一国の運命を握る立場に置かれている君主が、時代のめぐりあわせという運命を前にして、どう抵抗したらよいか、という命題の中で語られたものです。たとえ用意周到な人でも、もし時勢が変わったとき、腕をこまねいていたら破滅してしまう、もし状勢に即応することができれば運命は変化しなかっただろう、という具合です。

内部統制という時勢に対し、君主たる経営者は、運命に甘んじて翻弄されるのではなく、積極的なマネジメント手法を果敢に取り入れれば、運命をコントロールできる、かもしれません。

国和徳之