米国では2002年にSOX法が制定された。当初、SEC(米証券取引委員会)は対応に必要な費用を企業1社当たり9.4万ドルと見積もっていたが、実際には20倍に膨らんだ。その原因は何か。今後の課題は何か。
|
|
図1●内部統制のフレームワーク
[画像をクリックすると拡大] |
その経緯として、エンロンとワールドコム(現MCI)の話は避けて通れない。エンロンは、利益水増しや子会社を利用した損失の付け替えなどの会計操作を行い、2001年10月に疑惑が報じられた直後に破綻、株主に多大な損害を与えた。再発防止のための法案が上院金融委員会で承認された1週間後の2002年6月25日、今度はワールドコムの事件が発覚した。株価の上昇を狙って会計を操作し、売上高と利益を水増ししたというものだ。そのため、この法案は異例のスピードで可決されて7月末にSOX法として成立した。
SOX法では、上場企業に対して財務報告の信頼性を保証できるような『仕組み』(「財務報告にかかる内部統制」、ポリシーや手続き)を導入・維持することと、これら内部統制の有効性を年度末に報告することを義務付けた。監査法人には、今までの会計監査に加え、企業が内部統制を導入・維持していることを監査することも求めた(SOX法第404条)。
内部統制自体は決して新しい概念ではなく、全上場企業に1977年から導入されている。しかし、SOX法は、CEO(最高経営責任者)とCFO(最高財務責任者)が内部統制を一定のフレームワークによって評価し、第302条で「重大な欠陥」があれば報告することと規定しており、第906条で厳しい罰則が設けられた、という点で非常にインパクトが大きかった。
SOX法は全69条に及び、内部統制以外の多くの規制を含むが、企業の負担が一番大きかったのは、第404条である。
解釈を巡って起きた混乱
SOX法関連規制では、「財務報告書が信頼のおけるものであることを『合理的に』保証するためのプロセス」、「『合理的』なレベルで詳細に記録」など、「合理的(reasonable)」という言葉を多用している。SEC(米証券取引委員会)は、企業の特性が各々異なるため、あえて明確にすることを避けたと言うが、急遽成立した法律であったために詳細な規定が不十分だったことも否めない。
この「合理的」のあいまいさが、大混乱を起こすことになった。「どこまでやれば合理的なのか」という問いに対して、企業、監査法人、内部統制コンサルタント、ITベンダー/ITコンサルタントで大きな意見の食い違いが見られたのだ。一方で、「内部統制に重大な不備が発見された場合、投資家からただでは済まされないだろう」という雰囲気も高まったことから、多くの企業が「合理的」を厳しく解釈した。その結果、SECによると、初年度に企業が内部統制のために投じた費用は、当初の見積である「1社当たり9.4万ドル(約1000万円)」の20倍になった。
「重大な欠陥」を企業が報告
2005年3月中旬、第一陣として株式時価総額75百万ドルを超える米国企業が、2004年12月期の年次報告で内部統制に関する報告を行った。それ以降、決算を迎えた企業が順次報告を行っているが、今までのところ、内部統制の「重大な欠陥」を報告した企業は全体の6%である。重大な欠陥が見つかること自体はSOX法違反ではなく、開示しないことが違反となる。具体的には、数百社から内部統制の「重大な欠陥」が開示された(図2)。
|
| 図2●2005 年3月に企業が報告した内部統制の「重大な欠陥」の例 |
中には、「最近、会計システムを導入したが、設定ミス、設計ミスなどによりこれが旧来のシステムと違う動作をしており、二重計上されていたり、在庫数に食い違いが出ているのを検出できていない」などというものもあった。
SOX法は、企業が内部統制の重大な欠陥をきちんと開示したという点において、一定の効果があったといえる。しかし、株価の変動を見る限り、重大な欠陥を開示したからといって著しく投資家からの信頼を失墜した企業はなかった。そのため、多大なコストをかけても投資家の信頼には何の影響はないのではないか、むしろ準拠負担によって企業の収益が悪化し、投資家に不利になっているのではないか、という疑問の声も出てきた。
また、一連の粉飾会計で、顧客企業の財務状態を良く見せるためPCの日付を変更して監査書類を改ざんしたり、書類をシュレッダーに掛けて証拠隠滅を図ったりした監査法人が、SOX法施行により今度は「内部統制監査料」という新たな収入源を見出したことも企業から批判された。
SECが不満に応え指針公開
こうした中、2005年4月にはSECによる公聴会が開かれ、それまで口々に不満として伝えられていた現実が、全容として明らかになった。これを取りまとめてSECが1カ月後に公開した文書では、次の5つの問題点・指針が示されている。
- SECは「合理的に」と述べたのであって「徹底的に」「完璧に」とは要求していない。
- 内部統制を多く設定しすぎている企業が見受けられた。「財務報告に係る内部統制」以外の内部統制は対象外であり、業務とITの部門が連携を取り合って、お互いのプロセスを理解した上で、どのITが対象となるのかを見極めるべきである。例えば、オンラインショップに頼ったビジネスを行っている企業では、システムの停止は売り上げに大きな打撃を与えるため、「財務報告に影響する」と解釈した企業が多かったが、システムの停止によってデータに不整合が生じない限り財務報告の正確性が損なわれるものではないので、SOX法上のリスクには当たらない。
- 既存の内部統制チェックシートを元にして自社の内部統制を設計するという「ボトムアップ型」のアプローチを採ったために必要以上に内部統制を設定した企業が多かったが、財務報告の正確性が損なわれるリスクを洗い出し、そのための内部統制を設計するという「トップダウン型」のアプローチ(リスク・ベースのアプローチ)を採るべきである。
- 1つのリスクに対する内部統制が複数のステップから構成されている場合、全体を通して内部統制が正しく機能することをテストすればよく、個々のステップを単独の内部統制と扱って、単体でテストを行う必要はない。
- 監査の時点で初めて認識の不一致が明らかになることのないよう、企業が監査法人から内部統制に対するアドバイスを得ることは差し支えないのにもかかわらず、「SOX法で許されているサービスの範囲外にあたる」として企業に対してアドバイスを行うことを拒否した監査法人や、自ら判断をすることを避けてすべてを内部統制の対象とみなす監査法人があった。
コスト削減に成功した大企業
|
|
図3●株式時価総額7 億ドル超の企業の内部統制のコスト [画像をクリックすると拡大] |
2006年3月中旬に多くの企業がSOX法対応の2度目の報告を行った。それによると、大企業は既に大きなコスト削減を実現していることが分かった(図3)。大企業ほど学習効果が高かったこと、必要な投資を初年度で行っていたことなどが理由のようだ。SOX法以前より内部統制は整っており、初年度は文書化のみ実施した、というケースもあるようだ。米国の状況を見る限り、ITベンダーの“SOX法特需”は大企業に関してはそう長くは続きそうにない気配だ。
米国では、もともとROI(投資対効果)の低いものには大きな投資をしないという文化が根付いており、対応が必須となる法準拠でさえ、常に「投資に見合う効果があること」というのを念頭に意思決定をしている。そのような文化にあってもSOX法では“過剰”ともいえる反応があった。ROIをさほど気にする風潮がなく、潔癖を求める国民性を持つ日本では、さらに過剰な反応が起こることが懸念される。
また日本では、個人情報保護法で“萎縮”の現象が見られた。米国でも「開発者が本番機へのアクセスするときの手続き」を内部統制として管理するのが面倒なために、「開発者の本番機へのアクセスは一切禁止」などの極端な措置をとった企業があったようだが、同様な萎縮が日本で起こらないことを願うばかりである。
■今井 京子 TIS R&D Center,Inc.社長 |
