SOX法コンプライアンス

SOX法という言葉を聞いたことがある人も、すでにかなりの数になっているのではないかと思う。SOX法とは、米国の法律で、その発起人2人の名前をとったSarbanes-Oxleyから来ているものである。どういう法律かというと、株式上場企業に対し、その報告する財務内容について責任をもってもらうためのものである。これは、1990年代後半から2000年代前半に米国で起こったEnron、Worldcom、Tyco等大手企業の不正経理の再発防止を目的としている。具体的には、企業が財務報告するにあたって、不正や間違った報告がされないよう、内部統制が適切に行われているか評価する責務を企業に課すものである。この法律は、2002年に発布され、2004年11月15日以降の決算報告に対し、コンプライアンスを求めている。

そして、日本でも今、同様の法律(通称、日本版SOX法)の制定が検討され、準備されている。日本版SOX法については、日本でもいろいろと議論されているので、このコラムでは、米国に住んでいる立場から、米国のSOX法と、それに対して企業がどのようなことをしなければならなかったかについて述べ、来るべき日本版SOX法にどうそなえるべきかを考えていきたい。

米国でも、これまでSOX法に類似した法律がなかったわけではないが、それらは金融や医療関連など、特定業種向けのものが多く、すべての株式上場企業に対し、このような責務を課すものはなかった。そういう意味で、多くの米国企業は、まず何から始めたらよいかもわからず、かなり混乱した、というのが現状である。実はこの混乱を招いた原因には、この法律そのものの曖昧さがあり、その曖昧さゆえに、どこまで内部統制をやればよいかわからず、そのため必要以上の時間と労力、コストをかけてしまったという反省が米国内でも広がっている。

では、どれくらいの時間と労力、コストがかかったのか。ある調査によると、売上高50億ドル(約5,500億円)以上の企業では、スタッフの時間で平均70,000時間、コストは平均780万ドル(約8億5800万円)かかったといわれている。この数字は、これら企業が実際にSOX法コンプライアンス作業に入る前に予想した数字を大きく上回るものだった。このように当初はそれほどの大きなコストを予想していなかったため、スタッフの人数も必要以下であるなど、体制が不十分だったケースもいろいろと見受けられた。実際、企業のSOX法コンプライアンス責任者が、準備を十分に行わず、必要な体制もとらなかったため、途中で首を切られ、別な人間が担当することになったという場合もあった。

SOX法コンプライアンスは1度やれば終わりというものではなく、毎年実施する必要があるものだが、やはり1年目が大変だった。最後にはSOX法コンプライアンスの監査を監査法人から受けるわけだが、これを通らないと期末の財務報告が出来ないということもあり、最後は人海戦術で監査を「ともかく通す」ことを最大の課題として、作業を実施した企業が多かった。その結果、本来ならば事前にSOX法コンプライアンスに必要なツールをそろえ、それらを使って効率よく作業すべきところを、ともかく効率など無視して無理やり監査を通した、というのが実態であった。

ただ、これにはやむを得なかった事情もある。ひとつにはSOX法があまり詳細な規定をしておらず、そのため、どこまで作業をすべきか、する必要がないかの目安をつけるのが難しかったことがある。SOX法コンプライアンスのための事前作業の支援に多くの外部コンサルタントも利用されたが、彼らも1年目は初めてのことであり、「疑わしきは、ともかくやっておくべき」という対応をしたので、よけいな作業もやってしまった可能性がある。

また、本来ならばツールを使って効率よく作業を実施すべきだったと述べたが、実はそのツールそのものも、SOX法が詳細を明記していないこともあり、十分そろっていなかったのも現状であった。ただ、SOX法コンプライアンスそのものでなくても、そのために必要となる情報セキュリティ関連のツール等はすでに存在していたわけで、打つ手がなかったわけではない。しかし、こちらについても新たなツールを購入し、導入してきちっとした体制を確立することよりも、時間が限られていたため、ともかく監査を通すことに企業は専念してしまった、というのが実態であった。

さて、日本版SOX法は現在最終的な審議中で、近々その内容も確定するものと思う。現在の状況だと2009年3月決算期分からの施行になりそうだ(2008年3月からという可能性も残っている)。2009年3月と聞くと、まだ大分先のことのようだが、その年度がはじまるのは2008年4月、そのための準備の年は2007年4月からの1年ということになる。それでもまだ1年近く先、と言われるかもしれないが、準備を1年でやろうとすると、人海戦術でも何でもいいから「ともかく監査を通す」ということが最優先されてしまい、非効率を生むことになる。

これを避けるためには、この2006年こそが大事な準備のための準備の年、ということになる(仮にこれが2008年3月決算期分からということにでもなれば、もう今年度が準備の重要な年ということになる)。法律の最終内容が決まっていない現在でも、日本版SOX法コンプライアンスに必要となる情報セキュリティへの対応などは、作業を開始できる。そもそも情報セキュリティのポリシー設定と文書化等は、日本版SOX法にかかわりなく、企業として実施できていなければならないものである。そういう意味で、法律がどのような形になるかにかかわらず必要となる、情報セキュリティの整備を今年から始めるのがよい。このような事前準備をしておけば、日本版SOX法コンプライアンスのための来年以降の作業量も軽減され、期限に間に合わすためにバタバタと人海戦術で作業をするなどということが少なくなる。

インターネットが普及して以来、情報セキュリティが注目されるようになったが、それでも十分な情報セキュリティの体制をとっている企業は、日本ではまだまだ少ないといえる。CISO(Chief Information Security Officer)というタイトルの人間をおき、情報セキュリティに力を入れることは、今や米国では当たり前のことであるが、日本ではまだCISOを置いている企業は少なく、置いている企業でも別な仕事を本業とする人間が形だけ兼務している、というようなことが実態のようだ。

日本版SOX法コンプライアンスに対する準備を機会に、このようなところからまず改め、CISOの設置、情報セキュリティへの必要十分な予算配分等を行い、いよいよ日本版SOX法コンプライアンスのための作業が必要となったとき、情報セキュリティなどの当然必要となるものはすでに準備が完了しているようにしておきたい。それこそが、日本版SOX法コンプライアンスのためのトータルなコスト削減にも大きくつながることだろう。

  黒田 豊

(2006年5月)

ご感想をお待ちしています。送り先はここ

戻る