連載
» 2006年11月28日 12時00分 公開

CIOの視点で考える内部統制(2):米国におけるSOX法──先人の経験に学ぶ (1/2)

日本版SOX法は米国SOX法に倣ったものだが、その対応プロジェクトの実施においても米国の実例・経験が参考になる。米国上場企業は、SOX対応のどこに苦しんだのであろうか?

[稲見 吉彦, 丸本 正彦,@IT]

4年半の遅れを奇貨として

 前回『日本版SOX法に「踊らされない」ために大切なこと』で述べたように、SOX法はすでに米国で導入されている。

 2001年12月のエンロン破綻によって、株式市場の信頼がぐらついたことに危機感を覚えた米国では、直ちに連邦議会の上下両院で市場の信頼回復・会計不祥事の再発防止をテーマに法案の審議を始めた。上院案と下院案を一本化する両院協議会を開催している最中の2002年6月、ワールドコム事件が発覚すると両院は合意を急ぎ、7月25日には統一案が上下院とも可決、7月30日には大統領が署名して異例のスピードでサーベンス・オクスリー法(米国SOX法)が成立した。同法404条によって、2004年11月の決算期から、米国の株式市場に上場する企業のCEOCFOは内部統制の実施報告を提出すると同時に宣誓署名し、これに対して監査法人が監査報告を行うことが義務となった。

 一方、日本では2006年5月に可決した金融商品取引法の中で、いわゆる日本版SOX法(J-SOX法)を制定し、2009年3月以降に決算を迎える公開会社に対して同様の行為を義務付けた。つまり日本は米国にに比べて約4年半遅れていることになる。

 多くの米国企業は12月決算なので、SOX法成立からわずか1年半の間にSOX法に対応した決算の準備をせざるを得ず、先行事例もないということもあって、かなり混乱を来たしたようだ。日本は幸運にも、こうした先人の経験(場合によっては失敗からの教訓)を活かすことができる立場にある。本稿では先人の教えとして、以下の三者の経験からのレッスンを導いた。

  • ITサービスの提供会社としてのEDSが培ったきた、リスクマネジメントコンサルティングチームのメンバー
  • SOX法対象企業としてのEDSが、同法に対応するためのプロジェクトを推進したプロジェクトマネジメントオフィスのメンバー
  • EDS入社前に、日本で米国SOX法対応を実際に担当したEDSのコンサルタント

米国法人の日本支社への導入事例から

 まず、実際に米国SOX法対応を日本で行った希少な体験談をご紹介したい。

 以下は、私が某米国製造会社の日本支社で、ITの総責任者をやっていたときのSOX法対応の実務経験である。

 もともと、その会社は業務やITのプロセスの定義、レビューの実施、監査などを厳格に実施しており、SOX法に対する地盤は比較的整備されていたはずであった。しかし、そのような会社でさえ、2004年にSOX法対応プロジェクトが始まると、全員がパニック状態に陥っていった。

 2004年末には何とかSOX対応を終え、成果物として大量の文書と数々の新しい業務プロセスを手に入れることができたとはいえ、それ以上に大きな疲労感と士気の低下がチームの中に残された。その過程で幾人かの有能なメンバーが会社を去った。ある者は過労から体調を崩し戦線を離脱した。私自身も途中で何度か意欲を喪失した。

 会社は表向きは「SOX対応プロジェクトを成功させた」と宣伝をしているが、プロジェクトにかかわったほとんどの人間が「もう少し適切なやりようがあったのではないか」と思っているはずだ。

 いま振り返ると、大きく分けて3つの失敗があったのではないかと考えられる。

  1. 過剰なアドバイザー(船頭多くして舟山に上る)
  2. 弱気な経営陣
  3. 弱気な内部統制部と現場

1. 過剰なアドバイザー(船頭多くして舟山に上る)

 2004年は米国SOX法の初年度なので、当然ながらSOX法の実務経験者はいなかった。全員が初体験である。そこで米国本社は、内外の学識経験者を総動員した。社内では内部統制部(Internal Control)、監査部、ITの重鎮(社内ITポリシーの制定者たち)、社外からは高名な独立系監査法人の複数と契約を結んだ。

 まず最初の失敗といえるのが、リーダーシップの欠如である。何しろ、参加者全員が有識者(!)ということもあってなかなか基本方針が出ないのだ。当初は3月から実務作業に着手する予定が、基本方針策定が遅れたために6月からのスタートとなってしまった。しかも、ようやくできあがった基本方針は膨大な資料の山(当然、英文)であった。これを作成するために時間がかかったのである。その英語の資料も見慣れない監査用語が盛りだくさんで、現場では具体的に何をするかがさっぱり分からない。そこで米国からいわゆる有識者が何人も日本に来て説明することになった。

 そうしたこともあって現場はようやく何となく分かったような気になり、文書化とプロセスの評価が始まった。本社は念を入れて、作業体制を次のように構造化した。

  • 作業をする人(プロセスフローのドキュメント化・統制の文書化……)
  • レビューをする人(この作業は担当分野ごとの管理者)
  • それを承認する人(当該国でのIT最高責任者)
  • 承認されたプロセスを再確認する人(インスペクターと呼ばれ、当該国以外から召集される)
  • 内部監査
  • 外部監査

 さらに念には念を入れようと、米国本社は各作業の節目節目にはさまざまな有識者を日本へ派遣して来た。ここでの落とし穴が、派遣された有識者は内部・外部ともに自分の存在価値を誇示しようと、無理やりにでも何らかのコメントや改善案を残していくことだった。これはアドバザーの性なのかもしれないが、もし何も見付けられなければ、自分に能力がないことを示すことになるとでも思っていたような節がある。これが繰り返されるうち、初めに決めたスコープが拡大していったり、スコープそれ自体が変わってきたりした。このため私たち現場は「これではムービング・ターゲットだ!」と呆れてしまい、著しい士気の低下が起こった。

 挙句の果てにITに詳しくない監査人が来て、見当外れな指摘を上層部にどんどんエスカレーションしたため、「ディスクロージャー委員会」(社内の不正などを外部に報告するか否かを討議する。ここで脆弱性を報告することになれば、会社として大きな信用問題となる)に掛けられそうになり、これを回避するために現場は大変無駄な労力を強いられることになった。


2. 弱気な経営陣

 SOX対応中は毎週電話会議で、アジア全体の進ちょく状況の確認が行われた。その中でよくよく聞いた叱咤のせりふが「○×社長を刑務所に入れる気か〜〜っ!」であった。

 ご存じのように米国SOX法では、最終的に財務報告にCEOとCFOの署名が必要で、虚偽の報告があった場合はCEOとCFOは刑事罰を受けることになる。私たち、日本のITチームは本国の雲の上にいる社長さまなぞ1度もお会いしたこともなく、特に彼のために頑張ろうという動機は持っていなかった。むしろ保身に汲々とした経営陣のためだけにやっているように感じられ、この叱咤を聞くたびに気持ちが萎えたものだ。

 SOX対応作業における最初のステップは「評価範囲の決定」「リスクの評価」で、これを確定することが大切である。しかし経営陣が弱気で、責任をもって歯止めを行わなかったため、評価範囲は際限なく拡大し、リスク評価後の対策も同様に広がっていった。

 私の見たところ、10万円のリスクに対して平気で100万円の対策を立てているような感じであった。経営陣はリスクがゼロに近づくことで安心するのかもしれないが、経営本来の目的には明らかに反していた。無駄な投資を防ぐことができないこと自体が、全社レベルの統制が機能していないことを示すものだが、そうしたまったくの矛盾が起きていたのである。

 その結果、ITチームは文書化のほかに膨大なプログラムの修正を余儀なくされ、業務として代替統制(Compensating Control)を運用することになり、さらに日常業務でも膨大な作業と手続きの煩雑さが生じた。これらも社員の士気低下に大いに貢献(?)することになった。


3. 弱気な内部統制部と現場

 この会社は、伝統的に非常に内部監査の力が強いところであった。もし内部監査で変な指摘(Audit Commentといっていた)があると、役員クラスの評価は大いに落ちる。そうしたこともあって本国から監査が来るとなると、支社は上へ下への大騒ぎになる。役員は担当部署と内部統制部に対して、「絶対監査でボロを出さないように」と激を飛ばす。

 この会社では監査を効率よく行い、現場の能力を高める目的で、本番監査の前に内部統制部が事前監査を行って、脆弱性があると思われる個所をすべて列挙するというプロセスがあった。いわゆる「自己評価」(Self Assessment)である。事前に脆弱性と思われることを列挙さえしておけば、本番監査では指摘を受けず、役員のマイナス評価の材料にもならなかった。

 このプロセス自体はかなり先進的な監査のやり方であり、評価できるものであったと思う。しかし、監査で指摘を受けたくないために、非常に微細な問題点も洗いざらい列挙してしまう傾向が出てきた。もちろん、脆弱性を列挙すればそれに対する改善策をある決まった期間内に行わなくてはならない。その結果、現場の意思とはまったく別に、優先順位の低い改善策を実行するための作業が膨大に生み出されることになってしまった。

 このため、SOXへの対応が何度も手戻りして、無駄な作業が発生した。


       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -