J-SOX対応は本当に大丈夫か?(3)

徳田浩司(Koji Tokuda) 2006-05-11 08:34:04

J-SOX対応のコスト

実際に米国でどれだけの金額がSOX対応でIT投資に向かっているのかデータを探してみた。全米企業のCFO などで構成されるFinancial Executive Internationalが2005 年3 月に発表した調査結果が見つかった。株式公開企業で平均年商50 億ドルの217 社が対象だったそうで、SOX 法を遵守するために最初の1 年間に要したコストの平均は約436 万ドルだった。どうやらこれが1社あたり4,5億円と言われる根拠となっているようだ。

しかし、この中身を見ると、外部コンサルが34%、内部稼動が31%、監査が30%、外部のITソリューションは、実はたったの5%程度であった。1社あたり平均2-3千万円程度だ。

意外に小さい?J-SOX対応IT投資

上場企業数は、ニューヨーク証券取引所(NYSE)が約3,500社。NASDAQ(ナスダック)市場が5,000社以上で、合計すると8,000社を超える。資本金$75M以下の小さな企業や外国企業がまだ対象になっていなく、初年度、証券取引委員会(SEC)に報告した企業が4,700社と数は少なくなり、日本の上場企業数を少し上回った程度である。1社あたり平均3千万円としても、せいぜい1,500億円規模の市場である。SOX法は大変お金がかかったのは事実だが、どうやら、実際に最もコストがかかったのが業務手順の文書化や監査のところであり、初年度ではシステム化ではないようだ。ITベンダーの方々には残念な数字だが、ほとんど日本で期待されている通りにはなっておらず、私の実感に近い。

他の調査機関であるAMRリサーチによると、SOX法対策に必要とされた米国企業のコストは2005年に、米国全体で60億ドル(約7,000億円)だったそうだ。これも内部コストなどが含まれての数字だろうから、これから見ても、やはり外部のITソリューションはせいぜい2,000億円程度であろう。もちろん、さまざまなアンケート調査から見ると、2006年のIT化の予算は増えており、IT化はこれからだ。

更に見てみると、例の日本のSOX関連IT市場7,000億円の数字の出所であるIDCの最新の調査レポートを見つけた。4月27日に発表されており、SOX関連のIT投資は2,600億円という数字であった。おやっと思った。7,000億円から半分に下方修正したのだろうか?

IDCの説明によると、「IDC Japanは昨年11月にも、日本版SOX法施行に伴うIT投資の市場規模について、2009年に7,000億を超える見込みとの予測を発表していた。しかし、この数値には、日本版SOX法とは直接関係しない内部統制の支出も含まれており、また、SOX法が導入されている米国のデータをベースに予測したもので、国内で独自調査を行っていなかった。」ということだそうである。

もう一度、半年前の発表を、よくよく読み返してみた。SOX対応を含むコンプライアンス対応のITソリューションで7,000億円とあった。たしかに間違ってはいないのであるが、SOX法で7,000億円と報道されてしまっており、業界全体をミスリードしてしまった感は否めない。詳しく報告書を見ていないのでそれ以上のことは言えないのであるが、企業のシステム部門の社内コストが含まれた数字であろう。実際には外部のパッケージソフトなどITソリューションへの外注市場は、やはり、それほど大きくないのではないだろうか。

IT投資よりも経営コンサルティングがメイン

どうやら、SOX法向けのITソリューション単体では、多くのITベンダーが期待しているほどの商売にはならないようである。ほとんど脅迫ビジネスに近いものと思うのだが、企業側は、決してITベンダーに踊らされる必要はないのである。もちろんどの上場企業にとってもはじめてのことで、文書化に大きな体力とノウハウが必要であることもあり、外部の専門化のサポートを利用するのをお薦めしたい。単純にソフトウエアやハードウエアを提供するだけのベンダーの出番は少ないかもしれない。むしろ、「内部統制」というテーマで、経営リスクへの対応の高度化に対応できる、上流のコンサルティングが提供できるITベンダーやシステムコンサルタントにとっては、非常に大きなビジネスチャンスだろう。何千億円もの新しい市場が生まれるからだ。逆にそういう企業でなければ、このゲームへの参加資格を得ることは困難だと思う。

企業側としても、ITソリューションを考える前にまずやるべきことは、内部統制の体制を作り上げることが重要である。不正行為が起こらないように内部けん制の仕組みを作り上げ、違反が起こりそうになればアラートを出したり、レポーティングできる体制を作り上げることが先決ではないか。もともと、SOX法は財務上の不正を防止するため、内部統制をきちんと働かせるために作られた法律である。不正が起きないように日ごろから対応できている企業は、規制の詳細が決まっていなくても、また、仮にIT化が遅れても何も怖いものはない。内部統制は経営そのものであり、常にまじめに経営に取り組んでいるトップがいる企業には問題はないはずだ。

J-SOX対応をきっかけに内部統制の体制構築に取り組むべき

粉飾の手段としてよく使われ、不正が生じやすいのが、売上の過大計上や不良在庫(プロジェクト)の隠蔽にある。どの企業も各部門内で大なり小なり、「あのお偉い方が意思決定した案件なので・・」と処理が先延ばしになっているようなパンドラの箱があるはずだ。ある大手企業では、投資先のM&Aで巨額のキャピタルゲインが出たので、税金対策のため、各部門に償却できるような不良プロジェクトを出させた。すると、「実はこれも」、というようなプロジェクトがどんどん出てきたそうである。しかし、そのおかげで過去の悪い資産を一掃することができ、財務内容が大変にきれいになったため、その後は前向きなビジネスに取組みできたという話である。

この際に、内部にたまった膿を吐き出すことが先ではないか。今のうちならば「ごめんなさい」とトップが頭を下げることだけですむかもしれない。幸い今は経営環境が良く、本業は好調であるので、社員が路頭に迷うことにはならないだろう。仮にトップは辞めなければならなくなっても、牢屋に入ることはない。

時間はあまりない。第2、第3のケネス・レイ(エンロンのCEO)、ホリエモンは出ないで欲しい。トップは強い意志を持ち、過去の膿を吐き出すことを先にやるべきと思う。

(徳田浩司 koji.tokuda at www.fusion-reactor.biz

※このエントリはZDNetブロガーにより投稿されたものです。朝日インタラクティブ および ZDNet編集部の見解・意向を示すものではありません。

SpecialPR