米国におけるSOX法──先人の経験に学ぶ：CIOの視点で考える内部統制（2）（2/2 ページ）

[稲見 吉彦, 丸本 正彦，＠IT]

米国SOX法から得られる教訓

　前ページの事例を含め、米国SOX法の導入を経験をしたメンバーがもたらす教訓は以下のようにまとめられる。

■スコープの設定とトップマネジメントの役割

　SOX対応プロジェクトにおいて最も重要と指摘されているのが、検討の範囲（スコープ）の設定である。前ページの例では、トップ／アドバイザー／現場がそれぞれ弱気に流れたため、作業が雪だるま式に増殖していくさまがよく表されている。一流の企業でさえ（だからこそ）陥る“スコープの増殖”を防ぎ、スコープを適切に保つ方法を検討しておくことが重要だ、と関係者は口をそろえている。

　鍵となるのはロジカルなリスクアプローチを用いて、リスクの優先順位とスコープについて経営陣が合意を作っていくことにある。この際、重要なのはリスクの分析作業と対策の構築は、その優先度に応じて実施するということである。リスクの大小にかかわらず、すべて一律にしらみつぶしの分析を行い、対処を実施するという愚は避けなければならない。

　米国のガートナーやフォレスターなどの大手リサーチ会社は、失敗した多くの会社では真に重要なリスクとささいなリスクの間に、ほとんど差異がない状態になっていると分析している。こうした企業では、リスクの低いエリアにまでスコープを拡げ過ぎて、自らの統制が“Out of Control”に陥っていた。

　比喩（ひゆ）的にいえば、品質管理で不良品率の目標オプションを10％、1％、0.000001％と上げていくと、必要となる経費と労力が幾何級数的に増大することを想起していただければ分かりやすいだろうか。むやみに最高の状態を目指しても、企業体力・体質がついていなければ、大きな歪みを生じさせるだけなのは、品質管理もリスク管理も同様だといえるだろう。大切なのは重点管理なのである。

　EDSでは売上と活動内容を検討して、米国と英国の2カ国を優先国に指定している。ほかの47カ国も優先度に段階が設けられており、最も優先度の低い国群では売上計上と購買プロセス、資産管理の3項目のみを徹底的にチェック＆モニターすることが義務付けられた。ITサービスの特徴から、架空売上や調達機器の横流しが最大のリスクであり、この部分を押さえれば、後はリスクが低いと判断したのである。

　明確に指摘されない限り、経営陣はリスクマネジメントにおいて「リスクを取る」ということを回避したがる傾向にある（実は不明確だからこそ“リスク”なのだが）。どの部分のリスクを抑え、どの部分はリスクを容認するのか──、その判断にトップマネジメントが労力をいとわず、方針を設定することが、末端の現場におけるワークロードを適切に保つ鍵であり、それこそが真にリスクを統制することになる。そのことを組織として認識しておくことが肝要である。

■主体的なコミュニケーション

　前ページの例ほど多数ではなくとも、SOX対応プロジェクトでは社内外のアドバイザーと協働することが多いと思われる。SOX法の原則は単純である。すなわち、トップマネジメント自らが、自社にとってのあるべき内部統制を定義し、その定義にのっとって確実に実施されているかをモニターすべし──、である。

　しかしながらその実施については、SOX法は驚くほどあいまいで、どこまで実施すべきなのか、どのように優先順位を判断すればいいのかといった区切りを明確に定義していなかった。日本では実施基準によってこの点がある程度明確になったのは評価できるが、法の精神はあくまで「自己で統制レベルを規定し、実施する」ということにある。個々の事象についてどう判断すべきかということは、個々の企業の判断・現場の判断になる。

　こうした事情を踏まえて、EDS本社でプロジェクトを指揮した人間は「SOXのプロジェクトは、あいまいな法律という状況下で相互に納得できる適切な合意のラインをいかに作っていくかという、コミュニケーションマネジメントの課題として考えるべきだ」とアドバイスしている。

　彼女は、「決して“正しい”法的解釈を探求するということにとらわれてはいけない」と言い切る。そこに答えはないし、誰も知らないのだ。

　最終的に判断するのは監査担当の会計監査法人だが、彼らに「どのレベルまでやればいいのか」と聞いても答えは得られない。会社としては、自らがイニシアティブをとって、「当社としては内部統制をこう考えている。その考えに基づいて、リスクの優先順位をこのように考えた。これについて大きな間違いがあるのであればアドバイスをいただきたい」と迫ることが必要だ。決して、「どうしましょうか」と聞き続けてはいけない。野球の老練なキャッチャーが行うように、ピッチャーにボールをコーナーぎりぎりに投げさせて、ときには大げさにアピールを交えて、アンパイヤと駆け引きをしながら、ストライクゾーンを確定していく──。そうした主体的なコミュニケーションで合意形成を丹念に行うことで、最終的には監査の結果、大問題が持ち上がるリスクを減らすというアプローチが必要なのである。

　先の例でも明らかなように、アドバイザーは問題の指摘を徹底的に行うことに対するモチベーションは高いが、業務の煩雑さを勘案して適切な判断を加えるという視点は期待できない。あくまで統制の品質は、現場で作り込むものであり、現場の意識ややる気を削ぐような進め方は本末転倒である。アドバイザーの意見を聞く必要はあるが、現場の統制活動が機能するように、バランスのとれた判断のプロセスを組み込みながら、会社として主体的なコミュニケーションのマネジメントを展開することが第2のポイントである。

■継続的なプロジェクトとしての認識

　第3の教訓は、SOX対応を継続的な活動としてとらえることである。

　米国の経験では、、実施までの期間が少なかったこともあって、とりあえず初年度（2004年）を乗り越えることが目的化した。多くの企業では、とりあえず間に合わせの一時的な対処として認識され、その視点の下で判断と活動が行われた。

　2004年の監査が終わった後、当然のことながら多くの企業はこの法律が毎年適用されるということに気付くことになった。

　初めから継続的な活動として認識して対応した会社と、一時的なプロジェクトとして作業した会社の違いは、2年目以降に現れることになる。実際には、ビジネスプロセスのオーナーは四半期ごとに、変更確認のチェックを受け、変更があればどの部分が変更され、それに対するリスクのアセスメントがどうなるのかを検討することが求められる。こうした運用の設計までを視野にいれているかどうかにより、労力とコストは大きく異なった。2年目にSOX対応費用を削減しつつ、スコープを広げる会社がある一方で、2年目以降も同じレベルの統制を維持するのにコストは下がらず、むしろ増化する企業も存在している。

　継続的な活動としての視点の下では、対策の立て方が自ずと変わってくる。「システム化により複数年でコストを最小化する」「メンテナンスや変更管理などの容易さを確保する」といった仕組みやシステム化をより積極的に活用することが必要になってくるのである。

　SOX法の制定自体が内部統制リスクを増大させているわけではない。不正や不備の可能性（リスク）は、いま現在も存在している。SOX法の適用年度に向かって、内部統制システムが整備されれば、それで内部統制レベルは確実に上昇する。その後も、統制を継続的に改善することで、会社のリスク対応が熟成されていくことになる。米国の企業は今年が3年目であり、こうした年度サイクルに入っている。毎年、年初にどの部分を改善するかを計画し、それに基づいて内部統制の改善を継続的に実施している。EDSでも2005年には優先順位を2カ国から9の組織ユニット（国または子会社）に引き上げ、そのユニットでの統制の改善を着々と行っている。

　こうした継続的な改善の視点が、「初年度から完ぺきに実施する」と短期的に考えるよりも、組織の意識を健全な方向に向かわせることになるだろう。内部統制は段階的にレベルアップするものだということを考慮に入れて、「毎年少しづつ成長していく」という方針を明確にしておけば、現場に悲壮なやらされ感・負担感を感じさせずにすむはずだ。

　以上今回は、米国における経験を基に、トップマネジメントがイニシアティブをとってスコープの増大を管理し、アドバイザーを適切に活用しつつ、継続的な活動の視点でSOX対応を考えることを大事な教訓として述べた。次回は日本企業への導入の課題として、日本特有の事情から問題となることに触れたい。

筆者プロフィール

EDS Japan

トランスフォーメーションサービス部

▼稲見 吉彦（いなみ よしひこ）

システムインテグレータにて、金融系システムインテグレーション、Microsoft Universityのトレーナ、国内携帯関連ドットコム企業に対するマネジメントサポートや戦略コンサルティングサービスの提供後、ベンチャーキャピタルのテクノロジー・アドバイザーとして、投資先企業の新規事業推進などをサポートするとともに、新規投資案件のシステム評価を実施。現在、EDS Japanのコンサルティング部門である、トラスフォーメーションサービス部門の部長。

▼丸本 正彦（まるもと まさひこ）

外資系コンサルティング会社にて、事業戦略・組織設計・グローバル戦略などのコンサルティング業務を経験したのち、日系ソフト開発会社の経営企画部長として会社の再生をリード。現職においてはトランスフォーメーションサービスのコンサルタントとして、主に経営とITのコラボレーションについてアドバイスを行っている。

「CIOの視点で考える内部統制」バックナンバー

• 米国におけるSOX法──先人の経験に学ぶ
• 日本版SOX法に「踊らされない」ために大切なこと