求ム、幹部の不正に目を光らせる「コンプライアンス責任者」

企業が米国企業改革法をはじめ各種法規への対応を求められる中、「コンプライアンス責任者」の役割が注目を浴びるようになった。

[IDG Japan]

　数年前に企業国家アメリカで吹き荒れた不正経理スキャンダルの嵐、そしてその結果登場した米国企業改革法（Sarbanes-Oxley Act）により、企業に対し帳簿においても行動の面でも不正をしてはならないという圧力が高まった。企業各社の間で厳しい社内管理規定を制定する動きが進む中、コンプライアンス（法令順守）責任者（Chief Compliance Officer）を経営幹部として登用する企業が増えている。

　コンプライアンス責任者には法務や財務分野のバックグラウンドを持つ人が多く、IT畑の出身者は少ない。しかしITディレクターもこの職種に関する知識を持っている必要がある。今後、コンプライアンス責任者と話し合う機会が頻繁に生じることが予想されるからだ。

　昨年、カリフォルニア州サンタバーバラにあるTenet Healthcareにコンプライアンス責任者として入社したチェリル・ワゴンハースト氏は、コンプライアンス構想を推進する10名余りの幹部グループにIT担当者を含めている。

　「当社のコンプライアンス体制はシステム主体型だ。これは意志疎通のチャネルをオープンなものにする上でカギとなる方式であり、IT部門はこれらのシステムの開発で重要な役割を果たした。彼らはデータベースシステムを設計するとともに、管理する必要のある情報をやり取りするのに役立つプロセスを配備した」とワゴンハースト氏は話す。

　コンプライアンス責任者という職種は必ずしも新しいものではない。金融サービスや医薬業界のように規制が厳しい業界では以前から、コンプライアンスポリシーの策定・施行を担当する幹部を必要としていた。しかしこれまでコンプライアンス業務が複数の部署の幹部の間で分散していた企業が最近、これらの業務を専任の責任者に任せるようになってきた。

　「これは一種の分業だ。2年前は、こういった肩書を持つ人々はめったにいなかった」。ボストンにある経営調査会社Christian & Timbersのスティーブ・メーダーCEOは指摘する。「この1年間で当社には十数社の企業から引き合いがあった」と同氏。

　この地位に適した人材を確保するのは容易ではなく、費用もかかる。コンプライアンス責任者は一般に、企業のCEOあるいは取締役会に直属し、その業務には長年の経験が必要とされる。メーダー氏によると、大手企業の場合、コンプライアンス責任者の年収は約25万ドルからで、6桁の年収も珍しくないという。この地位の候補者には財務や法務分野の出身者が多い。

　コンプライアンス責任者の仕事の内容は企業によって大きく異なり、企業各社はそれぞれのニーズに合わせて職務を規定している。例えばヘルスケア業界の企業であれば、HIPAA（Health Insurance Portability and Accountability Act：医療保険の相互運用性と説明責任に関する法律）の複雑な要件に対応することがコンプライアンス責任者の最優先事項になるかもしれない。不正経理が最近発覚した企業の場合は、財務管理体制を強化し、それをチェックすることが優先課題となるだろう。

　不正経理問題で多数の経営幹部が辞職した後、経営刷新を進めているComputer Associatesでは、新たに創設されたコンプライアンス責任者という地位の適任者を探しているという。また、不正取引問題が起きた投資信託業界では、コンプライアンス責任者を置くことが義務付けられた。米証券取引委員会の新たな規定は、投資信託会社に対し10月初めまでにコンプライアンス責任者を置くよう要求している。

　バージニア州マクリーンにある不動産金融会社Freddie Macが、コンプライアンス責任者というポジションを創設したのは比較的最近のことだ。昨年10月に同地位に就任したジェリー・ワイス氏は、「当社では従来、管理部門や業務部門のさまざまなスタッフにコンプライアンス関連業務を任せてきたが、これらの業務を一元化することが適切だとの判断に至った」と説明する。同氏はそれまでMerrill Lynchのファンドマネジメント部門で10年間勤務し、最終的には同部門でコンプライアンスを担当するグローバル責任者を務めた。

　ワイス氏が最初に取り組んだ仕事は、Freddie Macの法令順守風土を評価し、法規制に関するギャップ分析を実施することだった。同氏が直接管理する日常業務の大半は、Freddie Macの各業務部門の現場の管理者が行うが、同氏のオフィスは法務、財務、運用リスク管理、情報システム、サービスなどの部門とも連携している。

　ワイス氏はFreddie MacのIS（情報システム）グループと共同で、Webベースのトレーニングシステムを開発中だ。管理者を対象としてコンプライアンスおよび職業倫理に関するトレーニングを実施するためである。同氏はさらに、同社の投資有価証券が規制当局のガイドラインに従って取引されていることを確認するための監視／調査ツールもISチームと共同で作成している。

　「われわれは最初にコンプライアンスプログラムのビジョンを作成し、最終的にそれを導入・実施するわけだが、この作業を進める上でISグループは不可欠なパートナーだ」とワイス氏は話す。

　だが、すべての企業でIT戦略とコンプライアンス戦略がうまくかみ合っているわけではないようだ。Meta Groupが最近公表したレポートによると、コンプライアンスソリューションの開発の最終段階における意思決定にCIO（最高情報責任者）が関与するケースは少ない。コンプライアンス関連費用が急速に増加するという状況の中（調査対象企業のうちコンプライアンス構想に予算を割り当てていないと答えた企業の半数が1年以内に予算を計上するとしている）、「計画段階でCIOが参加することがとりわけ重要だ」とMeta Groupは指摘している。

　ITコンサルタントとして長年の経験を持つテリー・カラン氏によると、コンプライアンス関連業務がIT戦略担当者の業務リストに含まれるようになってきた。特に、企業幹部が複数の職務を兼任する中小規模の企業でその傾向が強いという。

　Tenet Healthcareのプライバシー責任者、コニー・エメリー氏の場合、同社でコンプライアンス関連業務が増加するのに伴い、同氏の職務もそれに対応して変化しつつある。当初、Tenetのセキュリティ責任者だったエメリー氏は、HIPAAなどの法規制に伴ってこれらの業務がリンクするようになったため、プライバシー問題も担当するようになった。「プライバシーとセキュリティは密接な関係にあり、両者を切り離すのは難しい」と同氏は話す。

　HIPAA、企業改革法、そして「SB 1386」として知られるカリフォルニア州のデータセキュリティ法により、Tenetでは自社のデータインフラ全体を精査することを迫られた。

　「当社のシステムをすべて網羅した目録を作成しなければならなかった。当社には1300本以上の医療アプリケーションがある。最初は、システムの目録を完成するだけで大変だった」とコンプライアンス責任者のワゴンハースト氏の業務に協力しているエメリー氏は話す。「それから、対処すべき分野を特定するためにリスク分析を実施した。その結果、アクセス管理に問題があることが分かった。現在、対策を導入中であり、是正計画は順調に進んでいる」（同氏）

　企業各社が複雑に絡み合った社内問題を整理して、幹部が新たな法規制に違反するのを防止することに力を入れているという状況の中、コンプライアンス責任者を置く企業は今後さらに増加するものと予想される。現在、自社の品行方正を保証する誓約書に個人的に署名している重役やCEOにとって、コンプライアンス責任者というポジションを設けることは、自社が第2のEnronになるのではないかという不安から解放される方策の1つだと言えるだろう。