米国のSOX法対応で失敗した経験を生かすには：M&A時代のビジネスガバナンス（1）（1/2 ページ）

2007年5月から外資系企業による日本企業との三角合併が解禁となった。これにより、日本の経営者は、いままで以上に株主価値向上のためのM&Aの活用や、不祥事による価値失墜を防ぐためのガバナンスの徹底が必要になってくる。本連載では「M&Aに代表される企業活動のダイナミズムを支えつつ、いかに有効なガバナンスの仕組みを作るか？」に焦点を当て、これからのITに必要な要素を考える。

[野々上 仁，サン・マイクロシステムズ株式会社]

　今年に入り、好調を維持する米国主要企業における「国外からの売上比率」が、初めて5割を超えた。すでに世界経済は“米国主導型”から、欧州・新興国の成長をエンジンに加えた“世界連動型”の拡大期へと転換を迎えているといえる。

　加えて2007年5月からは、外資系企業による日本企業との三角合併が解禁となり、日本企業の経営者にとっては、世界規模での熾烈な競争環境の中で生き残るため、いままで以上に株主価値の維持・向上が至上命題となっている。

　中でも株主価値向上のためのM&Aの活用や、不祥事による価値失墜を防ぐためのガバナンスの徹底は経営者にとってトッププライオリティとなっている。

　しかしながら、M&Aが経営資源の統合や移動を伴う動的なイベントであるのに対し、内部統制に代表されるガバナンスの仕組みは、管理の観点からの静的な動きである方が実現しやすい。

　本連載では、「M&Aに代表される企業活動のダイナミズムを支えつつ、いかに有効なガバナンスの仕組みを作るか？」に焦点を当て、これからのITに必要な要素を考える。

　なお、今回焦点を当てるのは、上場企業の喫緊の課題である「内部統制の実現」、外部リスクへの対応策である「ビジネス継続性管理」、個人情報保護の観点で特に重要視される「セキュリティ」の3点である。

失敗も含め、米国での経験則を生かす

　SOX法への対応で数年先行する米国とカナダでは、2006年の1年間で約2300人ものCFOが離職しており、2005年度の1870人に比べて大きく増加したとの調査結果がある。そしてその理由の多くがSOX対応へのプレッシャーだといわれている。

　こういった事情を考慮してか、日本における内部統制の実施基準は、米国SOX法と比較すると、その内容が合理化され、実施上のハードルが低くなったと見受けられる。

　ただし、ご承知のように、内部統制のゴールは「テストに受かりさえすれば良い」というたぐいのものではない。内部統制は、企業を統治していくうえで、不正やミスなどによって起こり得る企業価値の失墜を、本当の意味で防いでいく仕組み作りにこそある。

　このことは、厳格な米国SOX法に対応した後も、ストックオプションの付与日を付け替える「バックデート操作」や、役員による盗聴など、いまだに問題を抱える米国の例を見ても明らかだろう。内部統制に完ぺきはないにしろ、可能な限り、効果的で実行可能な仕組みが求められているのである。

　幸い日本企業は、失敗も含め米国での経験則を参考にし、その仕組みをデザインすることができるのである。

「自動化・集中化・標準化」をデザインに

　米国SOX法対応の実態を踏まえると、内部統制を成功させるためのカギは、最初のデザインの段階にあると考えられる。

　多くの米国企業は、限られた期間内で、しかも範囲が不明確なまま、文書化に対応せざるを得なかったため、洗い出したリスクへのコントロールのデザインに対して、多くの時間を費やすことができなかった。その結果、負荷とリスクの高い、人手によるマニュアル統制に頼らざるを得なくなり、統制の難易度が極めて高くなってしまったのである。

　そうした米国での経験則を踏まえ、内部統制を実行する難易度を表すとすれば、以下のような計算式が成り立つと考えられる。

統制の難易度＝
マニュアル統制の数×管理対象の数×管理の複雑さ　×　変化のスピード
　　　　　　　　　（内部要因）　　　　　　　　　　（外部要因）

　 このうち、統制の難易度を下げるためには、まずは、コントロール可能な内部要因による変数を抑えることが近道となる。

　筆者が所属するサン・マイクロシステムズでは、自社のSOX法対応の経験から、「自動化・集中化・標準化」が、実現可能な内部統制を構築するうえでの重要な要件だと考えている。

効率的・効果的な内部統制のために
・「トップダウンアプローチ」に「自動化・集中化・標準化」を加味
・「職務分掌」「アクセス管理」「変更管理」「記録保存」が特に重要◆

　「自動化」によってマニュアル統制の数を削減し、「集中化」によって管理対象を削減し、「標準化」によって統制の複雑性や属人性を排除することによって、統制の難易度を下げることが可能だからである。

　例えば、職務分掌やアクセス管理においては、それぞれのシステムから出力情報を基に、辞めた社員のアカウントが残っていないか、異動して不適切なアクセス権限が残っていないかなどを目視で確認し、マーカーでチェックするといった気の遠くなるような手作業が必要になる。

　その際、統合的なID管理のソリューションを導入することで、職務分掌のポリシーに従ったアクセス権限の付与・はく奪や、監査レポートを「自動化」することにより、手作業によるリスクと負荷を同時に下げることができるのである。

ID管理ソリューション例
▼Sun Java Identity Management Suite
▼Oracle Identity Management
▼Microsoft Identity Lifecycle Manager 2007

　またマニュアル統制そのものは、そもそもアプリケーション間が分断されていたり、アプリケーションにコントロールの機能が不足していることが原因で、補完的に人的処理を行っているケースが多い。

　例えば既存アプリケーション間を、EAIをベースとしたBPM製品でプロセス間連携をさせることで、マニュアル統制をなくし、統制の「自動化」をすることができる。さらに、アプリケーションやシステムそのものを統合し「集中化」することは、管理対象を削減し、ビジネス効率と管理効率を上げることになる。

BPM製品例
▼Sun Java CAPS（Composite Application Platform Suite）
▼Websphere Process Server
▼Adobe LiveCycle Workflow

　また、シンクライアントシステムを導入することで、データの管理の「集中化」が可能となり、ユーザー側の管理工数の削減やデータ漏えいの可能性を大きく低減することができる。さらにCOBITやITIL、CMMといった業界フレームワークを利用し、ITプロセスを「標準化」することで、管理をシンプルにし、無駄なく有効なITガバナンスを実現することが可能である。

シンクライアントシステム例
▼Sun Ray
▼HP Consolidated Client Infrastructure
▼NEC「シンクライアントシステム」

　これらに代表される施策を早い段階でデザインに入れ、実現のためのロードマップを策定することが効果的・効率的な内部統制構築の近道だと考える。