プロジェクトプロ 代表 峯本展夫
編集者につけていただいた表題はかなり極端と思うが、確かに私は日本企業が「日本版SOX法対応」をすることに関して、非常に根本的な問題があると懸念している。ここで、日本版SOX法対応とは、「財務情報の虚偽記載を無くすという、財務報告内容に注目し内部統制に取り組む」ことを指す。
内部統制(インターナル・コントロール)はもともと、会計あるいは監査用語であるが、これを字義通りに解釈してはならない。つまり内部統制を、会計のチェック/コントロール制度としてではなく、もっと大きな、企業全体のリスクマネジメントシステムとしてとらえ、それに見合った包括的な施策を用意して導入に取り組むべきである。そうではなく「企業会計に関連する法律が変わったから、関連部分だけ対応しよう」という姿勢で臨むことは危険と言わざるを得ない。私の言いたいことは以上に尽きる。
以下では、なぜ危険か、ではどう考えればいいのか、包括的施策とは何か、といった点について順に述べてみたい。
日本版SOX法とは通称である。2006年6月7日に成立した「金融商品取引法」の中で、2008年4月から始まる事業年度に関し内部統制報告書の作成と監査が義務付けられた。さらに金融庁は2006年11月21日、「財務報告にかかる内部統制の評価および監査に関する実施基準(公開草案)」を公表した。これらを包括して、日本版SOX法と呼ぶことが多い。実施基準は、金融商品取引法が上場企業に求めている内部統制報告書を作成するための基本的な考え方を示した文書である。
これらをなぜ日本版SOX法と呼ぶかと言えば、米国のサーベンス・オックスリー(SOX)法を参考にしているからである。SOX法は、米国有数の大企業の不祥事を受け、会計・監査・コーポレートガバナンスといったテーマに関する様々な改革案をまとめた法律で、企業会計と財務報告の正確性を高める狙いで2002年7月に成立した。SOX法で注目を集めたのは、その中の404条にある「経営者による内部統制の評価」の項で、内部統制に関する報告書の提出とその監査を求めた点である。
我が国において、企業に内部統制の徹底を求める動きは、ほかにもある。経済産業省は2005年8月、コーポレートガバナンス及びリスク管理・内部統制に関する開示・評価の枠組みに関する指針を発表した。また、2006年5月から施行された新会社法においても、内部統制システム構築に関する基本方針の決定を求めている。
「また文書管理ですか?」
内部統制システムの詳細な説明はここでは省く。要は、企業が自社の経営目的に影響を与えるリスクを認識、リスクに対処する取り組みを実施し、その諸活動をきちんと行っているかどうかをモニタリング、問題があれば改善する、一連の仕組みのことである。いささか乱暴な説明になるが、ISO9000の取得に取り組んだ企業であれば、ISO9000に出てくる「品質」という言葉を「リスク」に置き換えて考えてみれば、内部統制の概要をつかむことができるだろう。
ただ、こう理解すると気の早い経営者の中には「要するに文書管理の仕組みをまた作るのだな。費用はどのくらいかかるのか。導入コンサルタントは誰にしよう。監査法人はどこがよいか」と言い出しかねない。経営者の指示を受け、担当者があれこれ調べ、経営者に費用を提示する。予想よりかなりかかる。すると経営者は「とにかく有価証券報告書の記載の虚偽リスクだけは何とかしよう」と言いだし、証券取引法の改正に間に合わせて、できる範囲の取り組みをする。こういうやり方が、筆者が危険と思う「日本版SOX法対応」である。残念ながら、こうしたやり方が散見されている。
すべての日本企業がそうだと言うつもりは毛頭ないが、新しい経営手法やマネジメントシステムが登場すると、それをつまみ食いし、必要最低限の取り組みをして期限ぎりぎりに滑り込もうとするなど、要領よく導入しようとする企業が多い。かつてのISO9000もそうであった。何のためのISO9000導入かを経営者が吟味したうえで、その狙いを現場に徹底することなく、ただISO9000を取得する、といった表面的な取り組みになった企業が散見された。日本版SOX法あるいは内部統制も、同じようなことになりかねない。
社員のモチベーションを考えよ
