「NET&COM 2007」に併せ、同じく東京ビッグサイト内で「内部統制ソリューションフォーラム in NET&COM」(主催:日経BP社)が9日までの日程で開催されている。開幕初日となる8日には、牧野総合法律事務所の牧野二郎弁護士が「企業特性を生かした内部統制のあり方」と題した基調講演を行なった。
「まずは日米の違いの認識を」
牧野総合法律事務所の牧野二郎弁護士
「日本版SOXなどと呼ばれているが、まずは日米の違いを正しく認識すべき。“日米が同じ”などというのは信用すべきではない」。
弁護士・牧野二郎氏はこう断言する。その背景には、日本と米国には法規定や企業風土においてさまざまな違いがあるからだ。すでに米国ではSOX法を緩和する方向で動いており、現時点で米SOX法に対応した内部統制を敷くことは、過剰な対応となってしまう可能性も高い。
「SOX法の緩和策では『効率性を重視して適用範囲を限定する』としている。これは日本の実施基準案と同じではないか」。牧野氏はこう問いかけるとともに、「米国SOX法を鵜呑みにする必要はない」と強調する。
内部統制というとSOX法を思い浮かべることが多いが、内部統制自体は新しい考え方ではない。「特に製薬、金融といった業界は厳しい規制がされ、それに対応してきた。また、大手企業の多くは高度経済成長期に業務フローの見直しを行なっている。すでにみなさんは1度、内部統制を終了していると考えていい」(牧野氏)。
ただし内部統制とは、一度行なって済むもの、一過性の対策ではない。牧野氏は「内部統制は常に続けていけないければならない」としたうえで、「業務の複雑化と情報の高度化によって内部統制の『再構築』に着手すべき時期にきている」との認識を示す。
体制整備には「4点セット」で
内部統制で求められる「体制の整備」について、牧野氏は「ルール化」「業務記録」「点検(自己点検)」「監査(改善提案)」の4つを「体制整備の4点セット」として紹介した。
まず、「社是」「行動憲章」などを骨格として、自社のルールを策定する。ルールは業務ルールだけでなく、取締役についてのルールも明確にすることが重要だという。次にルールに沿って業務を行ない、それを記録していく。ただ「実際の業務はほとんどが記録されていない」ため、電子メールや電話を記録すべきだと牧野氏はアドバイスする。「管理方法を定め、とにかくまずは記録する。『口頭で伝えたら終わり』ではなく、きちんとフォローすることが重要」。
また、業務を進めるにつれて、次第に制定したルールとのズレが生じてくる。そのズレを自己点検したうえで、最後に第三者の目で見てもらうのが「監査」のプロセスとなる。「監査とは批判ではなく、改善のための提案をもらう機会だと捉えてほしい」と牧野氏は話す。
日本版SOX法の実施基準案におけるポイント
続いて、日本版SOX法の実施基準案についても言及した。牧野氏が見る実施基準案のポイントは、「経営者中心を再確認」「IT統制が重要」「メールの記録保存の必要性」「ITの活用による統制環境の整備」「構築のポイントと構築の手順を明確化」だ。
このうち、構築のポイントと手順の明確化については、「取締役会で決議すべき」と説明。「実際には、一度にすべてを構築することは難しい。そこで担当取締役を決め、後回しにしたものと構築の計画を明らかにし、取締役会で決議することが重要」だという。そのことで、「『今すぐにはできないが、ちゃんとやる』という担保になる」。
また、内部統制構築における「受託業務」(アウトソーシング)の評価について、外部委託先との契約にSLA(サービスレベルアグリーメント)を盛り込んだうえで、業務報告書、セキュリティ監査報告書、内部統制報告書の提出を求める必要があると説明。「これからは、内部統制の報告ができる企業でなければ受注できない。中小企業もそのことを理解しなくては」と強調した。
最後に牧野氏は、「個人情報保護法のときのように、『誰かが決めてくれるだろう』と他人任せにしてはならない。経営責任を取れるのは経営者自身であることを明確にしていただきたい」とまとめ、講演を締めくくった。
