日本でも、財務報告に関する内部統制の構築・評価と監査を上場企業に対して義務付ける、いわゆる「日本版SOX法」が国会で審議中であり、これに対するITベンダーの動きが活発になってきている。今日、企業活動にはITが不可欠であり、当然内部統制の構築にもITは欠かせない。また日本版SOX法の草案には、もとの米国版にはないIT統制の項目も盛り込まれており、多くのベンダーがこれを商機と捉えている。
しかし、そもそも米SOX法(Sarbanes-Oxley法)は米企業にどのような影響を与えたのだろうか。今回から5回にわたってその実態を報告する。第1回目では、SOX法がどのようなものか、その概要を振り返ってみよう。
情報開示の仕組みを見直して透明性を確保
米国企業改革法、いわゆるSOX法は2002年7月に制定され、2004年末から対象企業の時価総額規模ごとに段階的に施行されている。同法は、EnronやWorldComなどで発生した役員の不正や粉飾決算を防止するため制定されたもので、その目的は企業の情報開示の仕組みを見直して透明性を確保し、資本市場からの信頼を回復することにあった。特に、財務報告に関わる内部統制の体制整備が義務付けられていて、日本版SOX法でも、この内部統制の体制構築が重要な部分を占めている。
SOX法では経営者の株主に対する説明責任が厳しく求められており、役員や取締役に対する規制や、内部統制への評価・報告義務が定められている。その他、監査人の独立性の強化、監視委員会の権限の強化なども含まれている。意図的な違反があった場合、従来からあった損害賠償責任に加えて、役員・取締役に対して20年以下の禁固刑または500万ドルまでの罰金、ないしはその両方の刑事罰が課せられるようになった。SOX法の注目すべき主な条項は下記の通りとなっている。
- 101、102条:上場企業会計監視委員会(Public Company Accounting Oversight Board:PCAOB)を設置し、上場企業の監査を監視する(監査を行う会計事務所はPCAOBに登録する必要がある)
- 104条:PCAOBには、個々の上場企業に対し、SOX法に準拠しているかどうかの継続的なコンプライアンス評価の実施が求められる
- 302条:最高経営責任者(CEO)および最高財務責任者(CFO)には、四半期報告、年次報告の度に報告内容に間違いがないことを保証し、宣誓することが義務付けられる
- 404条:企業には財務報告プロセスの内部統制と手続きを文書化し、有効性を評価することを要求。また、内部統制の整備状況と運用状況に関する報告書を、年次財務報告書と一緒に提出することが義務付けられる
SOX法運用の現状
SOX法は2002年に制定されたが、上場企業すべてに同時の対応が求められたわけではなく、企業をいくつかのグループに分けて対応開始時期が決められた。第1グループとなったのは時価総額7500万ドルを超える大規模企業で、2004年会計年度分からSOX法に準拠した報告を行うことになった。
しかしながら、このグループの中で、2004年11月から2005年前半までに財務報告を行う予定だった約2500社のうち、10〜15%が決算期を前に自社の内部統制が不十分であることを発表し、証券取引委員会(SEC)に対応の遅延を申請した。
後述するが、当初SOX法は非常に厳しい制度と認識されていたため、2004年度にSOX基準に準拠できないと判断した企業には、猶予期間が設けられることになった。また事実、2005年初めまでになんとか報告を行った会社の中でも、10〜20%は3段階ある内部統制整備評価のうち最低レベルにランクされていた(これは次年度の報告時点までに改善されていれば良く、問題はない)。
プロセスの見直しと文書化に18カ月
各社の対応は、まず業務プロセスの見直しから始まった。前述の通り、404条では、企業が内部統制の整備状況、運用状況に関する報告書を年次財務報告書と一緒に提出することが義務付けられている。
この報告書を作成するには、企業の財務会計活動に関わるプロセスにおいて、売り上げ、売掛金、値引、返品、貸倒引当金などの計上基準や、担当者の職務分掌・権限規定、承認手順、チェック&レビュー手順などの統制活動が整備され、文書化されている必要がある。例えば、販売プロセスの場合、単なる売上計上だけでなく、受注、出荷、請求、料金回収などの一連の業務において上記の統制活動が整備され文書化されていることが必要になる。
さらに、実際の業務が基準通りに処理されているかをテストすることも求められるため、数回の見直しが必要となる。このプロセスの見直しを繰り返し、業務フローを文書化するには膨大な時間がかかり、例えば、大手スーパーマーケット・チェーンのSafewayはこの作業に18カ月を費やした。
2004年度の会計報告から、これらの業務プロセスにおける統制活動の文書化が義務付けられた。ちなみに、これらの業務プロセスの見直しは、会計事務所などのコンサルタントが企業の内部スタッフと共同で担当しているが、SOX法では、この業務プロセスコンサルタントと、その後の監査人は別の法人が担当することを義務付けている。
対応コストは平均で3500万ドル
これらの作業は経理部門や業務担当者だけで対応できるものではなく、情報システム部門も加わって、システムの見直しがなされている。そのため、財務報告書を作成する経理部門はもとより、販売や調達を行う業務部門、情報インフラを提供する情報システム部門の関与が必要となり、多くの担当者を巻き込んでのプロセス、システムの見直しでコストがかかりすぎるという問題が生じている。
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。