第三次産業革命
2006年 4月 27日 (木)
企業経営に与える日本版SOX法のインパクト
講師:中島 洋
所属:国際大学GLOCOM主幹研究員
日経BP社編集委員
MM総合研究所所長
日時:2006年4月27日(木)午後2時~5時
終了しました
- 概要:いわゆる「日本版SOX法」は新設される金融商品取引法の中に取り込まれて、今国会に上程され、当初の検討より1年遅い、09年3月期決算から上場企業に対して適用されることになった。内容は財務報告の正確性を保証するために企業の「内部統制」を厳格に運用し、そのための仕組みづくりを目的にしたもので、当初は財務問題、あるいは監査部門の問題のように認識されていた。しかし、その前提には、情報システムを基礎に置いた経営の仕組みの根本的転換が不可欠で、それを行わずに日本版SOX法に対応することは極めて非効率なものになる。日本版SOX法は、情報システムをベースにした経営革新を迫るものである。その根本的な意味を企業と社会との関係性をベースに論じる。
- 講師プロフィール:
東京大学大学院(倫理学)修士修了。日本経済新聞社産業部にて、ハイテク分野、総合商社、企業経営問題などを担当。1988年から編集委員。この間、日経コンピュータ、日経パソコンの創刊に参加。1997年~2002年慶応義塾大学教授(大学院政策・メディア研究科特別研究担当)。現在、日経BP社編集委員、マルチメディア総合研究所所長(2003年12月1日~)を兼務。
- 報告:
■対応に苦慮する米国企業
4月27日のIECP研究会は、中島洋GLOCOM主幹研究員を講師に、「企業経営に与える日本版SOX法のインパクト」と題して開催された。
国会で審議されていた「日本版SOX法」(金融商品取引法)は6月7日に可決成立し、2008年4月1日以降に始まる事業年度(すなわち2009年3月期決算)から適用されることになった。
先行してSOX法が施行されている米国では、過重なストレスのためにCEO、CFOの平均在任期間が2~1年半に短縮したという報告があったほどで、対応に苦慮する企業の声も聞こえてくる。しかし、講師の中島氏は、日本版SOX法を業務プロセス変革の好機として前向きにとらえるべきだと語る。
SOX法は、正式名称をPublic Company Accounting Reform and Investor Protection Act of 2002といい、「企業改革法」と訳されることが多い。SOX法という略称は、法案を連名で提出したポール・サーベンス(Paul Sarbanes)上院議員とマイケル・G・オクスリー(Michael G. Oxley)下院議員の名前による。エンロンやワールドコムなどの不正会計事件によって証券市場が著しく混乱したことを受けて制定されたもので、違反に対しては経営責任者個人の責任を厳しく追及する内容となっている。
大企業については2004年11月以降の決算期から適用が始まり、以降、米国の各証券市場に上場するすべての企業に順次適用される予定であったが、あまりに厳しいルールのために上場廃止や経営者逮捕が相次ぎ、小規模企業は適用外にするなどの緩和策が打ち出されているという。
こういった状況の中で中島氏が注目するのは、オラクルとヒューレット・パッカード(HP)の例である。オラクルでは1998年から、ラリー・エリソンCEOの発案で、業務を標準化・単一化し、可視性・正確性・適時性を高めるための改革に5年がかりで取り組んできた。その結果、200~300あったデータベースを全社で一つ(バックアップセンターを含めると三つ)にまとめることができ、これにより年間1,000億円の経費が削減できたそうである。この経営システムができていたことで、オラクルは新たな内部統制システムを構築する必要がなく、そのままSOX法に対応することができたという。
またHPでは、「良い会社」という企業風土の醸成のために、3年前から業務改革を進めてきた。良い会社であるためには、企業活動に不正があってはならない。HPはこれを達成するために、社員が不正を働きにくい仕組み、すなわち単一化、可視化されたシステムを構築していた。このベースがあったために、SOX法対応のための追加投資を低く抑えることができたということである。
■内部統制とCOSOフレームワーク
講演資料によると、米国SOX法は「企業会計や財務報告の透明性・正確性を保証すること」を目的とし、この目的を達成するため、財務報告作成までの業務プロセスの内部統制(Internal Control)が適正に組織され実行されることを、SEC(米国証券取引委員会)登録企業に対して法律的に要請するものである。
具体的には、企業の経営者と財務の責任者は財務報告書の正確性・完全性・適切な表現・開示の統制と手順に責任をもつことを宣誓する義務を負い(302条)、経営者は内部統制の確立と維持に責任をもち、その有効性を評価して報告すること(404条)、財務状況や経営の重大なできごとについては現状をすぐに(2営業日以内目標)報告すること(409条)とされている。
これからもわかるように、SOX法の最大のポイントは企業の内部統制の強化である。経営者は内部統制を整備して維持し、毎年、その有効性を評価して報告する義務を負う。そして、この内部統制報告書の虚偽に対して、最長20年の禁固刑を含む刑事罰が設けられているのである。
内部統制の国際標準としてはCOSOフレームワーク (注1)があり、これによると、内部統制は「三つの目的(①業務の有効性・効率性、②財務諸表の信頼性確保、③関連法規の遵守)を達成するために、企業内のすべての者によって遂行されるプロセスであり、五つの構成要素(①統制環境、②リスクの評価、③統制活動、④情報と伝達、⑤モニタリング)から成る」と定義されている。
■日本版SOX法は「IT対応」が基本要素に
金融庁は2006年3月13日、国会に「証券取引法の一部を改正する法律案」を提出した。その内容は、投資者保護を目的に、現行の証券取引法を抜本的に改正し、他の投資関連法令と統合して、名称も「金融商品取引法」(通称「投資サービス法」)と改めるというものである。この法案の中に、内部統制システムの導入、内部統制報告書の開示と外部監査などが盛り込まれている。
これが、いわゆる「日本版SOX法」であるが、実は2005年の商法改正によって生まれた会社法(2006年5月1日施行)の中で、すでに大会社について内部統制システム構築の義務化が定められている。「SOX法=内部統制の法制化」と考えると、日本版SOX法の導入はすでに始まっているともいえる。
日本版SOX法における内部統制については、金融庁の企業会計審議会内部統制部会において、日本の実情に合った基準のあり方が審議されてきた。昨年7月に公開草案が公表され、一部修正のうえ、「財務報告に係る内部統制の評価及び監査の基準案」 (注2)として取りまとめられた。この中で、内部統制は次のように定義されている。
内部統制とは、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の四つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の六つの基本的要素から構成される。
これは前述のCOSOフレームワークをベースとし、目標に「資産の保全」を、構成要素に「ITへの対応」を付け加えたものである。
また、処罰については、米国同様に禁固刑を含む刑事罰が設けられるのではないかといわれているが、中島氏によると「詳しいことは施行令が出てみないとわからない」。経済界は反対しているが、ライブドア事件の影響もあって抵抗は弱まりつつある。厳しすぎるという米国での意見を勘案するにしても、「日本で活動している米国企業にすでにSOX法が適用されている以上、基本は同じ考え方でいかざるを得ないだろう」ということであった。
■情報技術が社会の透明性を強制
若干の揺り戻しがあるにしても、内部統制の強化という金融庁の方針は変わらないだろう、と中島氏は言う。というのは、企業の社会的責任をより厳しく、という歴史的な流れの延長上にSOX法もあるからである。環境公害や健康被害を引き起こした企業に対してその責任が厳しく追及されることは、いまや当然である。PL法(製造物責任法)、住宅の品質確保の促進等に関する法律、個人情報保護法では、いずれも企業の側(製造者、売主、情報管理者)により重い責任を課す傾向にある。
また、情報技術の発達もSOX法の背景となっている。情報技術を採用したことで、これまで見えなかったものが可視化し、その結果として不正が減った――このような現象は、すでに社会のあちこちで起きている。たとえば次のような例である。
・牛肉のトレーサビリティ
「牛の個体識別のための情報の管理及び伝達に関する特別措置法」という法律ができ、日本で出生または輸入されたすべての牛に10桁の個体識別番号をつけ、品種、生年月日、生育地、処理の年月日などを記録することが義務づけられた。2004年12月からは流通業者や小売業者にも番号表示が義務づけられ、消費者は「家畜改良センター」のサイトにアクセスして、ラベルやプライスカードなどに記された個体識別番号を入力すれば、その牛の生産流通履歴などを知ることができる。本来はBSE(牛海綿状脳症)の蔓延防止が目的であったが、これにより牛肉産地の偽装が不可能になった。
・Suicaによる不正乗車の激減
JR東日本のSuicaや私鉄各社のパスネットなどが導入されたことによって、キセル乗車がほぼ不可能になった。
・監視カメラの設置
監視カメラは、金融機関やコンビニだけでなく、駅、空港、地下鉄、エレベータ、街頭、公共機関、集合住宅などでも設置が当たり前になってきている。2002年に新宿歌舞伎町の街頭に設置されたときには多かった反対も、子供が被害者となる犯罪が続いたこともあって、最近ではほとんど聞かれなくなった。
このように一般社会の中で、不正防止のために個人の行動をモニタすることが日常的となっているのであれば、企業の中で不正が行われていないか、投資家を含む利害関係者がモニタするのは当然の権利ではないだろうか。企業の経営者が、業務プロセスを開示して不正のないことを証明することは当然の責務と考えられるようになってきたのである。
■SOX法対応には情報武装が不可避
中島氏は、SOX法が企業に強制しているのは「情報技術をベースにした内部統制」だという。業務にかかわるすべてのデータを記録することは、手作業でもそれなりの手間をかければできるかもしれないが、それには毎年、膨大なコストがかかる。全社員によって行われている業務を継続的に監視したり、問題があった時点でデータを検索して点検したり、それを内部統制報告書として開示したりするためには、最初からすべてのデータがデジタルで入力され、ネットワークで管理され、異常は自動的にチェックされ、簡単に集計できるようなシステムが前提とされているのである。
米国では、SOX法対応のための追加情報投資が1社平均500万ドルといわれているが、ここで中島氏は「情報投資はSOX対応のためだけではない」ことを強調する。業務プロセスの効率化によって投資が回収できることは、冒頭のオラクルやHP、JR東日本のSuicaの例などで見たとおりである。
中島氏によると、このような業務プロセス変革の決め手となるのが、BPM(ビジネス・プロセス・モニタリング)やBAM(ビジネス・アクティビィティ・モニタリング)と呼ばれるシステムである。BPM、BAMでは、ネットワークを基盤に行われている業務のプロセスをリアルタイムでモニタし、異常値を検出すると即座に分析して、問題点や不正の可能性を抽出することができる。本来の目的は、業務プロセスのボトルネックの発見と改善であるが、これが同時に不正の発見と防止にも役立っている。経営者自身が簡単に異常を全数チェックできるため、BAMを導入している企業の経営者は「自信をもって財務報告書にサインできる」と語ったそうである。
■情報技術者が不足しはじめている
もうひとつ重要なのは、SOX法は大企業だけの問題ではない、という点である。個人情報保護法のときと同じように、上場企業が自社のコンプライアンスを確実にするために、取引先にも同様の内部統制整備を求めるという連鎖が起こり得る。また、すべての取引情報を電子保管するには、最初から電子取引で行うほうが効率がいい。となると、EDI(Electronic Data Interchange)対応の有無が取引先選定の基準になることもあり得る。このように、直接の適用対象は上場企業であっても、SOX法の影響はしだいに取引先から取引先へと波及していくだろうと考えられる。
ここで、中島氏が懸念するのが情報技術者の不足である。金融機関の統合や景気回復で日本企業の情報投資が増えているうえに、中国やインドで開発していたものが日本に戻ってきているという状況があり、ここにきて情報技術者の需要が急速に伸びているそうである。日本版SOX法の施行は当初の見込みより1年先送りされたが、時間が十分あるとはいい難い状況である。
最後に中島氏は、日本版SOX法導入に伴って発生するビジネスの例として以下をあげたが、監査法人やコンサルタント、会計事務所については、すでにほぼ手一杯の状況になっているということであった。
①大企業の内部統制体制確立
監査法人、コンサルタント、会計事務所
社内教育のためのe-ラーニングシステム
②大企業の内部統制システム、BPM、BAMシステム確立
③大企業電子文書保管システム
④大企業取引電子化ビジネス
⑤中堅・中小企業取引電子化ビジネス
⑥証拠に耐えうる記録の保管・保存ビジネス
⑦CIO、CIO補佐などの養成と派遣
【注】
1. COSOフレームワーク:米国のトレッドウェイ委員会組織委員会(COSO:the Committee of Sponsoring Organization of the Treadway Commission)が1992年に公表した内部統制の基本的枠組み。
2.『財務報告に係る内部統制の評価及び監査の基準のあり方について』(企業会計審議会内部統制部会、2005年12月8日)
(レポート/濱田美智子)
- 講師:中島 洋
- 所属:国際大学GLOCOM主幹研究員
日経BP社編集委員
MM総合研究所所長 - 日時:
2006年4月27日(木)午後2時~5時
終了しました - 場所:国際大学グローバルコミュニケーションセンター