米国のSOX法対応状況から対策を考える

経営者の不十分な関与、リスクアプローチの不徹底

   2005年4月13日、SEC登録の大企業群が1回目の内部統制に関する報告を終えた数ヶ月後に1回目のSECラウンドテーブルが開催されている。 そこにおいて、トップダウンでのリスクアプローチを採用しなかったこと、監査法人と十分なコミュニケーションが取れていなかったこと、ITへの理解が不十 分であることなど、「経営者」の関与が浅いことが指摘されている。

   第404条対応の一般的なプロセスは以下に示す通りとなっており、訪問したSEC登録企業の中でもスムーズに対応が終わった企業は、トップダウンで のガバナンスや内部統制についての考え方が徹底しており、執行役員レベルでも担当部門のリスクなどについて優先順位付けがしっかりとなされていた。逆に、 スムーズに文書化が終わっていない企業は、大抵がボトムアップ的にひたすら文書化対応を進めており、トップの関与が不十分であると感じた。

図3：第404条対応の一般的プロセス
（画像をクリックすると別ウィンドウに拡大図を表示します）

   それから1年後の2006年5月、SECが2度目のラウンドテーブルを開催し、どの程度前回の反省が活かされたか、レビューを行った。また IIA（内部監査人協会）も、同様に1年目と2年目でSOX法対応がどのように変化したか、特にどのように効率的になったかをアンケートを基に検証してい る。

   それらの結果を見る限りでは、リスクアプローチの採用による範囲の絞込みなどにより、2割程度対応負荷・コストが削減され、重要なポイントの改善に 時間を割けるようになったようである。しかし、その削減効果は想定されたほどではなく、更なる徹底が企業経営者側から期待されている。

   そのため第2回目のSECラウンドテーブルの結果要旨報告でも、「SOX第404条の実務指針」に相当するAS2を見直すことで、基準を明確化し、監査法人や企業経営者による解釈・認識の差をなくすことが期待されている。

   未だ米国大企業だけしかSOX法対応報告を経験していないが、今後は非米国大企業、更には数多くの中小企業がSOX法対応報告を行うタイミングが近 づいてきている。企業規模が小さく、成長過程にある企業ほど、内部統制面に課題が存在するため、早急に基準を明確化することが必要である。

内部統制の運用面についての意識欠如

   2つ目の大きな問題点は、内部統制体系の評価・報告・更新などの運用面を意識している企業の少なさである。財務報告に添付する内部統制報告書およびその作成のための運用については、企業の認識も高まり、体制やツールの活用が進みつつある。

   しかし毎年、第404条対応で報告を行ったとしても、それは1年に1回のことであり、それでは不備を未然に防ぎ、重大な欠陥をなくすことは難しい。 いかにして「継続的なモニタリング」「継続的な業務改善」に繋げていくかが、非常に重要なポイントとなってくると考えられる。

   未だにSOX法対応を、経営陣と内部監査部門（および財務・経理部門）など、「特定の限定した部門の法対応活動」として捉えている企業が多い。それでは、現場などで不備が発生したとしても、発見が遅れ、改善のタイミングも後手に回ってしまうのはやむを得ない。

   本質的に内部統制レベルを向上させ不備をなくすためには、不備を予防するのが望ましいが、すべてを予防することは理想的過ぎる。実際は「火の出るま えの煙の段階」、つまり不備の兆候が発生した段階をモニタリングでき、その段階で直ぐに手が打てるような、現場中心のモニタリングや改善活動を構築し、定 着させていくことが望ましい。

   このような米国で起きている課題を認識した上で、日本版SOX法およびその実務指針は作成されているものと思われる。企業経営者としても、法律や実 務指針だけに対応を依存するのではなく、自ら米国の反省を踏まえ日本流・自社流の取り組むについて検討することが必要であると考える。

   次回は、日本版SOX法の法制化の動きとともに、野村総合研究所で実施したアンケートをもとに日本企業がどのような取組みをはじめているのかを解説していく。