J-SOXをやりすぎた日本企業：[Analysis]

[大津心，＠IT]

　2009年6月末に3月期決算企業の内部統制報告書の提出期限が締め切られ、上場企業の約7割に当たる2672社が報告書を提出した。その結果、全体の約98％に当たる2607社が内部統制は「有効」という、いわゆるクリーンレポートを提出。「重大な欠陥がある」と評価した企業は56社で全体の2.1％、評価を表明できなかった企業が9社（同0.3％）だった。米国SOX法初年度は「重大な欠陥がある」と評価した企業が16.3％だったことを考えると、約8分の1にすぎない。

　では、なぜこのような好結果になったのだろうか。あらた監査法人代表社員で公認会計士である箱田順哉氏は「米国SOX法を経験した大企業を中心に慎重に対応した結果」を一因に挙げた。そして、「文書化作業は多くの企業でやりすぎている」とも指摘する。

　筆者は箱田氏が指摘するような結果になった原因は、大きく分けて2つあると考える。1つ目が「金融庁がガイドライン（実施基準）などを出すのが遅すぎた」点。2つ目が「ITコンサルティングファームなどが危機感をあおった」点だ。1つ目の原因は、ガイドラインの発表が遅れたことで、各社は見切り発車せざるを得なかった点だ。初年度なので、ほとんどの企業が暗中模索状態で対応作業をしなければならなかった。そのため、ガイドラインへの期待はかなり大きかった。しかし、ガイドラインの発表が当初の予定よりも半年以上遅れた結果、多くの企業では見切り発車で対応作業を始めなければならず、必要以上の文書化作業などを行ってしまった。

　この問題は、2つ目のコンサルティングファームやITベンダ、メディアなどが危機感をあおった問題にも影響している。2つ目の問題は、暗中模索している各企業に対して、米国SOX法対応を経験したコンサルティングファームが米国の事例を出し、米国SOX法基準に近い対応を各社に推奨した点だ。これにより、必要以上に文書化やツール導入を行った企業も出ている。

　先述のように、米国SOX法では初年度から苦労する企業が続出し、かなりの投資が行われた。その結果、「厳しくしすぎて企業を疲弊させた」という課題が出ていた。その結果を考慮した金融庁は、日本版SOX法を策定する際に「米国SOX法は企業の負担が大きすぎたのでその点を修正し、企業の負担を減らすことで定着化させたい」というコンセプトを持っていた。一部の識者から、“ルーズSOX”と呼ばれたほどだ。しかし、ガイドラインの発表が遅れた結果、多くの企業は米国SOX法を参考にした対応を実施し、実質的に日本版SOX法が求める以上の作業を行ってしまった。つまり、金融庁の思惑と反対の結果になってしまったのだ。

　箱田氏は、日本版SOX法2年目に対応コストを削減するポイントとして、「監査法人との協議」と「ツール活用による効率化」の2点を挙げる。日本版SOX法対応について、事前に監査法人と協議しキーコントロールなどを絞り込む、いわゆる“にぎり”を行うことで、大幅に工数を減らせるという。また、ツールで自動化できる部分を自動化することで、人的コストも削減できる上に効率化も図れる。「初年度も監査法人と事前協議ができていれば、半分以上のコストを削減できたはずだ。2年目以降は監査法人同士のコンセンサスもある程度できている。例えば、監査法人Aを日本版SOX法対応コンサルタントとして雇うのも効果的だ。監査法人Aをコンサルタントとして、監査を担当する監査法人Bとの協議の席に同席させれば、かなりの工数を削減できる。ぜひ活用してほしい」（箱田氏）とコメントした。

　このように金融庁の思惑に反して、日本版SOX法初年度は多くの企業でやりすぎてしまった傾向があるようだ。しかし、これはあくまでも「日本版SOX法が求める基準」に対して、やりすぎてしまっただけだ。せっかく、苦労して文書化作業を行ったのだから、ROIを上げるためにも、この内部統制を発展させて、ERM（Enterprise Risk Management）などにも取り組んでいってほしい。