SOXを改革の起爆剤とする

 2002年7月、アメリカ議会は「サーベンス・オクスリー法」(SOX)を急ぎ可決した。その狙いが、上場企業の不正行為を減らし、財務報告の信用性を高め、投資家の信頼を回復することにあったのは、いまや言うまでもあるまい。

 不正や不実を働いてきた連中と同じコンプライアンス(遵法義務)基準が、なぜ我々にも課せられるのか──。こう憤った経営幹部は少なくない。とりわけ中小の上場企業は、経営陣の時間の大半がその作業に割かれる、これに要するコストが100万ドル単位に上ると不満を訴えた。

 SOX法のうち、最も負担の重い条項は第404条だろう。同条は「財務報告に関する健全な内部監査システムの維持と有効性の評価」を経営陣の責務とし、「経営陣による評価の検証と総合的な財務統制システムの状態に関する報告」を監査人の責務と定めている(囲み「内部統制のABC」を参照)。

内部統制のABC

 SOX法第404条は「内部統制」が中心である。では、内部統制とはいかなるものか。確実かつ適正な承認手続きに従い、事前に定められた方法によってビジネスプロセスを遂行させる手段を言う。

 たとえば「情報セキュリティを守る」という目標について考えてみよう。この目標を実現する手段として、収納棚の施錠に始まり、コンピュータ・データの暗号化に至るまで、さまざまな対策が考えられる。

 SOX法の狙いは財務報告の信頼性を向上させることにあり、当然ながら同法によって採用される統制手段も、そのほとんどが財務データの適時性、誠実性、正確性に寄与するものである。

 内部統制は、大きく2種類に分けられる。まず「予防的統制」(preventive control)は、故意や不注意による間違いをなくすことが目的である。

 たとえば、支払業務の分業がそうだ。1人目が請求書を決済し、2人目が小切手を作成し、3人目が署名する。こうして未承認小切手の振り出しを防いでいる。

 次に、「発見的統制」(detective control)は、発生してしまった間違いを発見するのが目的である。

 たとえば、銀行口座の出納は毎月再確認されているが、これなどはそのようなミスを見つけるための手段にほかならない。

 SOX法を遵守するうえで欠かせない要素は、内部統制の検証である。同法が施行された1年目には、新しい法律ゆえに規制当局から実施綱領が出されなかったことも大きいが、必要以上に多数の統制手段を検証してしまった企業が少なくない。

 たとえば、財務諸表の重大な不実記載につながる可能性はほとんど考えられないものを検証したケース、あるいは統制手段の効率性を評価するためのサンプルが不要に多すぎたケースなどがある。

 一部の企業では、コンプライアンスの作業を極力減らすため、内部統制の合理化に踏み切った。

 たとえば「間違いや濫用のおそれがあるのはどれか」「重大な不実記載につながりかねないものはどれか」といった視点から評価する。そして該当する統制手段については何度も検証を重ね、そうではないものは思い切って外してしまう。

 SOX法も2年目であるが、このような合理化によって、内部統制の実効性を損なうことなく、SOX関連コストを削減した企業は多い。

 その一方、我々は上場企業向けにコンプライアンスに関するコンサルティングを提供するなかで、SOX法をむしろ歓迎している人が少なからず存在することに気づいた。

 この人たちは、財務報告がいい加減になり、ワールドコムやエンロンといった企業で不正行為がまかり通っていることにかねてから懸念を抱いており、事業部門に投じられる資源のほんの一部でも、内部統制のプロセスや能力の開発に振り向けられないものかと願っていた。

 また、ステークホルダーたちを守り、訴訟を未然に防ぐだけでなく、くだらぬ意思決定も減るという意味からも、ビジネスプロセスに関する情報の質を高めたいと考えていた。

 しかし、2004年にSOX法が施行されてみると、その作業量はとほうもなく、とりあえず文言上の規定を満たすのが精一杯で、それ以上のことに取り組める余裕はなかった。これを機に改革を起こそうにも「まだまだ様子見」の段階であり、結局は次年度以降に先送りされた。

 SOX法が発効すると、さすがに変革の必要性を理解する経営幹部が増えた。実際、SOX遵守のプロセスを検討・評価する過程で、自社の弱点や欠点が明らかとなり、肝をつぶした人が少なくない。具体的には、ガバナンス規程の不徹底、無用な複雑性、コミュニケーションの不足、コンプライアンスを軽視する企業文化などが浮かび上がった。

 時代を問わず、SOX法のような法律が制定されれば、このような洗い直しがなされたことだろう。ただし現在にあっては、昨今の不正行為とは別に、さまざまな要因のせいで業務の中身は見えにくく、また報告もわかりにくくなっている。そう考えると、SOX法の施行はまさに絶好のタイミングといえた。

 そのさまざまな要因とは、たとえばM&Aが増えて、それに伴う統合作業が思うように進まない、新たなITインフラが導入されたが、既存のシステムとの互換性がない、さらには電子セキュリティの問題、主にY2K(2000年問題)に見られた場当たり的な対応、事業のグローバル展開に伴う言語・文化・法律・商慣習におけるきしみ、提携やアウトソーシングの増加、複数のサプライチェーンの統合などである。多数の企業において、報告書上のパフォーマンスと実際のパフォーマンスとにズレが生じてしまったのも不思議ではない。