2006年6月に改正された金融商品取引法(金融庁)のなかに「内部統制報告書」という制度が規定された。これにより上場企業のトップは、自ら「信頼性のある決算書作成の仕組み」すなわち虚偽記載のない決算書を作るための社内のシステムが適切に機能していることを外部に向かって報告し、あわせてその報告内容が正しいかどうかを外部の会計士に監査してもらわねばならなくなった。
これが世にいうJ-SOX法で、2008年4月以降にはじまる事業年度から適用される。ということは、2009年3月末の会計監査のときに<適正である>旨のお墨付きをもらうためには、その監査対象期間の出発点である2008年4月からJ-SOXに対応した内部統制システムが構築されていなければならない。ところが、実際にはシステム構築のためにかなりの作業量が想定され、準備時間はそれほど残されていないのが現実である。法律が出された後、何をすればよいかという(いちおう具体的な)実施基準が示されたが、それでも相変わらず見えない面が多い。やり方によっては、膨大な文書を作成しなければならない羽目に陥る。ぜひ後戻りしないですむように対応したいがどうすればよいか、というのが各企業のトップや内部統制担当者の悩みである。
先日都内で開かれたJ-SOX関連の「ITコンプライアンス・サミット2007」に出席し、学者、学識経験者、弁護士、企業代表などの講演を聴いた。
ところで、コンプライアンスComplianceという言葉を最近よく見聞きするが、実はわかったようでいまひとつよくわからない言葉だと思わないだろうか。英語をそのままカタカナにしただけだから当然といえば当然かもしれない。つまり、異なる文化圏から移植された概念をすんなり飲み込めといっても無理なはなしである。comply withで「〜を遵守する」という意味だが、単にコンプライアンスといっただけでは何を遵守するのかよく判らない。法令遵守であったり企業倫理であったりする。また、リスクマネジメントの一環として論じられることもある。けっこう幅の広い概念である。
このようなコンプライアンスとITがいったいどこで関連するのかと思われる方も多いのではないだろうか。ITとは、周知のとおりコンピュータやデータ通信に関する技術の総称であらためて説明する必要もないと思う。現在の企業活動ではかなりの部分でITが使われていて、IT抜きにして企業活動は成り立たない。つまり、会計に絡むような場面にはほとんど例外なくITが導入されている。そこで、安心して経営をするためにも、統制の自動化、業務の効率化、情報システムの確立などが欠かせないテーマとなっているのである。
「ITコンプライアンス・サミット2007」の基調講演を行った郷原信郎氏(桐蔭横浜大学コンプライアンス研究センター長)は、『法令遵守が日本を滅ぼす』といういささかショッキングなテーマを掲げ、「コンプライアンス=法令遵守」と考えているままでは、企業の不祥事はなくならない、昨今の企業不祥事とその対応事例を元に「社会的要請に適応する力」としてのコンプライアンスでなければならないと説いた。「金儲けは悪いことですか?」と開き直った某ファンドの男がいたが、たしかに彼の論理でゆけば、法に抵触しなければ(くぐり抜けていれば)いいじゃないか、となるのだろうが、しかしそれだけで本当によいものか。形だけの「法令遵守」に果たしてどれだけの意味があるかが問われているのである。
部会長としてJ-SOX法の舵取り役を務めた八田進二氏(青山学院大学大学院教授)は、ことあるごとに「J-SOXに対して間違った対応をするな」と力説し
ているが、この講演でも、あいかわらず続く現場の混乱に対してあらためて遺憾の意を表明した。もっとも重要な点は、おそらくリスクの取り上げ方であろう。J-SOXでいうリスクとは、あくまで「財務報告に係る」もので、それ以外のいわゆるビジネス上のリスクなどは対象にしていない。財務上のリスクとビジネス上のリスクがどうちがうかといえば、たとえば、受注情報を正確に入力しなかったために顧客に商品が届かず、売上が計上されないというリスクを想定した場合、これは財務に係るリスクではないということになる。なぜならば、もともと入力ミスだろうが何であろうが、とにかく取引が発生していないのと同じことであり、財務上は何も起きていないからである。しかし、受注が正確に処理されないのは経営上たいへんな問題である。当然放置することはできないが、ここは別の問題として取り扱わねばならないことになる。そこで、財務報告に係るリスクとは何か、どこに潜んでいるのか、その対策は何をどこまでやればよいのか、などなど議論百出なのである。
J-SOX立役者としての八田氏の発言は、公認会計士、コンサルタント、弁護士、そしてJ-SOXソリューション提供と称する多くのサプライヤーなどの発言とはさまざまに対立していることが知られている。要するに立場によってJ-SOXとのかかわり方が大きくちがっているのである。これはある意味でやむをえないことかも知れない。
監査人(会計士)からすれば、会計監査の責任を果たすためには企業に対してあれもこれもと要求してより安全なものにしておきたいし、コンサルタントやソフト関連企業などはあの手この手でモノや情報を提供しようとする、金融庁にしても行政の責任を問われないように防衛する、それに対して企業側はなるべく余計な仕事はせず、法律が求める最低限必要なことだけにしぼりたい、いっぽうで、学者である八田氏の仕事はすでに終わっており、あとにはなんのしがらみもない。となれば、もっとも中立公正な立場にいるのは誰か。これはどうみても明白である。八田氏は、誰の話を信じればよいかという疑問に対しては、以上のように答えて、あとはご自分で判断されよと諭している。
そして、先日の新聞にとうとう「風が吹けば桶屋が儲かる」ニュースが掲載された。J-SOXでは前に述べたように、監査人という第三者に内部統制システムの有効性を示さなければならないが、口でしゃべるだけではどうしても証拠力が弱い。そこで何らかの証跡を示す必要がある。その証跡とはいずれにしても書かれたもの、つまり伝票であったりさまざまな帳票類であったりする。それらはこれまでは用がすめば廃棄していたが、今度はそれを整理して取って置かなければならなくなった。つまりは保管場所、倉庫が必要になり、その影響で倉庫業界が活況を呈してきたというわけである。うーん、どう考えても「風が吹けば桶屋が儲かる」仕組みになってしまった。
ところで、“なんやかや”欄の『今さらながの内部統制』で紹介した日本セキュリティ・マネジメント学会理事の三品利郎氏から、この拙文についての感想が送られてきた。
“内部統制システム”は、確かに、我々、日本人には理解し難いと思います。COSO-ERMも同様に、一見すると我々、日本人から見て理解し難そうに感じると思います。 世阿弥の風姿花傳を「科学的」と表現しましたが、それは、ガリレオ流の帰納的な“科学”とデカルト流の“科学”とで言えば、ガリレオ流のアプローチを行いそれを、演繹の手法で整理したものが風姿花傳といえると思います。 世阿弥は、ガリレオ、デカルトより100年以上前に活躍していた訳ですから、そもそも、日本人は科学的な能力に長けている証です。ところが、現実に起きていることは、欧米から、本来、日本人が得意とする“科学的”な手法が入ってくると、不思議なことに、苦手意識と抵抗感を持ってしまいます。ISOシリーズの時も同じだったと思いますが、“実は、自分たちの得意なことだ”と気がつけば、スンナリと馴染めたように思います。
また、大手食品企業の役員の方から頂いた感想では、つぎのように私の文章に対する工夫について触れておられた。
書き出しが面白く、読み進むに従って興味が涌いてくる、何とも不思議な文章で大変楽しく読ませて頂きました。難しい事を易しく解説するとは正しくこの事であり、当社内の内部統制関係者へ早速回覧した程です。
その他にも多くの方からご感想を頂いているが、内部統制システムを構築するには、今さらながらではあるが、けっこうなパワーが必要なことは間違いない。
「なんやかや」Topへ 
Home Pageへ