「日本版SOX法のほかにも、企業が順守すべき法律は新会社法や個人情報保護法、不正競争防止法などがあり、これらの法律に対してバラバラに対応するのではなく、共通として対応すべき点、個別に対応すべき点を明確にしたマスタープランを作るべき」――。マイクロソフトは5月24日に「Microsoft Management Summit 2006 Japan」を開催。その中で野村総合研究所コンサルティング事業本部副本部長の此本臣吾氏は、「企業における内部統制基盤整備の進むべき方向」と題する講演を行った。
此本氏は、日本版SOX法の手本となった米国のSOX法に対する米国企業の対応を分析し、米企業でも課題が指摘されていると説明。その課題とは(1)ボトムアップ型による膨大なコストの発生、(2)財務監査と内部統制監査との統合が不十分、(3)経営者のIT活用に対する理解が不十分、(4)経営者と監査人とのコミュニケーション欠如――という4つになる。
(1)のボトムアップ型による膨大なコストの発生とは、企業内のありとあらゆる業務を監査対象にしたことでコストが想定以上に大きくなってしまったという問題である。その要因となったのは、監査人に対する監督を強化したことで、本来専門家であるはずの監査人がリスクを恐れて、「何でもかんでも、重要ではないはずのプロセスを含めて内部統制の対象としまった」(此本氏)ことだ。また、監査の結果を株主に直接報告する「ダイレクトレポーティング」という制度のために、企業内の関連組織との連携不足から、やはり重要なプロセスの絞り込みができず、コストがかかってしまったというものだ。
此本氏は、先に挙げた(1)〜(4)に見られるような米国企業の対応を分析して、日本企業は「トップダウン型のリスクアプローチと監査方法の工夫が必要」だと主張する。また米国の場合、SOX法対応のコスト負担は特に中堅企業に対して厳しいものとなっていると此本氏は説明している。
米SOX法では、米国企業を株式時価総額7500万ドル以上の第1グループと7500万ドル未満の第2グループに分けて、対応開始時期を別々にしている。第1グループは大企業であり、大企業は2004年11月15日以降に迎える決算期からSOX法に対応することを義務づけた。そして第2グループに属するのが中堅企業であり、本来このグループは2005年4月以降に迎える決算期から、SOX法への対応が義務づけられるはずだった。
実際には、中堅企業、いわゆる第2グループはSOX法対応義務開始時期は2回の延期をせざるをえなかったという。現時点では「中堅企業は2006年7月15日以降に迎える決算期からSOX法への対応が義務づけられている」(此本氏)。
だがそれでも中堅企業に対する負担は大きなものであるために、「米国では中堅企業への適用免除を検討も考えられている」(此本氏)。現実に、米証券取引委員会(SEC)の「中堅公開企業に対する諮問委員会」の4月23日の最終報告には「売上高7億8700ドル以下の企業を対象に、中堅企業の適した制度が構築されるまで、一定のガバナンス条件をクリアしていれば、内部統制監査制度の適用を免除する」という勧告が盛り込まれているという。
野村総合研究所では、上場企業に対して日本版SOX法対応に関するアンケート調査を実施。その回答によると、上場企業の「62%が何らかの対応を開始している」(此本氏)という。そのうちの62%が監査法人・コンサルへの相談をしている。また35%が責任者を任命、32%がプロジェクトチームを発足させている。
同じアンケート調査では、対応が困難な事項も調べており、60%以上が「統制の文書化が困難」としている。その理由としては、「業務マニュアルが更新されていない、証跡が残っていない、複数部署にまたがると文書化不能、文書化の途中で変更が起こる」ことを挙げている。
さらに講演の中で此本氏は、「IT統制についても難問が山積している」と指摘する。というのは、(1)業務処理統制ばかりが先行し、IT統制の検討は後手に回りがち、(2)レガシーシステムにIT統制の設計思想がない、(3)ユーザー部門が独自開発の非標準化システムの存在、(4)子会社ごと、海外拠点ごとに違うシステムの存在、(5)アプリケーションのテスト負荷が大きい――といった状況があるからだ。
こういったことを踏まえて、此本氏は内部統制を進めるうえでのポイントとして(1)従業員にとっては単なる作業負担であり、「内部統制」の意義と重要性をいかに一人一人に認識させ、実行させること、(2)単なる法対応の投資から、いかに企業にとって身のある投資にするか、(3)グループ全体の統制面で、どこまで標準化し、どこまで独自性を認めるか、(4)新会社法、日本版SOX法、個人情報保護法、不正競争防止法などをバラバラに行わず、共通として行うべき点、個別に対応する点を明確にしたマスタープランを作るべき――を挙げている。