まず、アメリカでSOX法が施行された背景やその概要をお聞かせください。

　SOX法は、現在かなり話題にものぼっていますので、皆さんも名前は耳にされたことがあると思います。この法律は正式には法案の提案者の名前をとってサーベンス･オクスレー（S a r b a n e s - O x l e y）法といいますが、普通は通称であるSOX法で呼ばれています。アメリカでは2001年から2002年にかけて、不正会計処理に端を発したエンロン社とワールドコム社の2つの大型倒産がありました。そこで、粉飾決算などの企業不祥事を防ぐために緊急措置法のような形で作られたのですが、これには少し前段があります。
　この2大倒産事件からさかのぼること約10年前の1992年、「COSOフレーム（※1）」が発表されました。これはトレッドウェイ委員会支援組織委員会がまとめた内部統制に関する基本的な枠組みで、COSOはその委員会の頭文字です。また、この概念を3次元の立体キューブで表現した「COSOキューブ（※2）」というものもあります。
　監査法人のプロフェッショナルが集まって作ったこれらの考え方は、アメリカの企業内で実践されていたはずなんですが、実際には大型倒産が相次いで起こってしまったということで、「COSOフレームやCOSOキューブの考え方が機能しているのか?」という大きな疑問符がついた。そこで、これ以上不祥事を起こさせないように、COSOフレームワークに基づいて、刑罰が懲役20年を超えるような厳しい法律であるSOX法が急遽生まれることになったわけです。

では日本に導入される際の相違点を含め、日本版SOX法についてお聞かせください。

　日本版SOX法は正式には「金融商品取引法」といいますが、これはアメリカ版のSOX法をそっくりそのまま輸入したような厳しいものでは決してありません。またアメリカとの違いは、日本では「会社法による内部統制」と「日本版SOX法である金融商品取引法による内部統制」という2つの側面から取り組む必要があるということです。金融商品取引法による内部統制が孤立して存在しているわけではないんです。まず内部統制は会社法に基づいて取締役会で決めなければなりません。また、取締役会では内部統制に取り組む意思を宣言するだけではなく、実際にその計画を立案しなければならないし、それをどの程度の規模で進めていくのかを決定しなくてはなりません。

他にもアメリカのSOX法と一線を画すことになる背景があるのでしょうか。
　
　現在、世の中の書店を席巻している感のあるCOSOフレームやCOSOキューブですが、これらの本を読んで「なるほど!」と理解できる人は少ないでしょう。もちろんアメリカ型の経営が身についている方には、業務フローをキューブで割ってひとつひとつのチェックポイントを明確にしていく、というこの方法はわかりやすいかもしれません。しかしながら我が国の企業では、そのような業務フローになっていないわけです。
　それにアメリカ版SOX法の刑罰は厳しすぎたのではないかという反省もある。実はこの法律、まだアメリカの上場企業の8割には適用されていない。適用が延期されているんですね。上位2割の企業にしか適用されていないということは、法律の威力や効力としてお粗末すぎるわけですよ。このように日本の習慣に馴染みにくい側面や法律としての問題点などを検証すると、やはり我が国独自のしくみを作らなければならないし、緩やかに内部統制をすすめる必要性が高まってきたんです。もっとも緩やかといっても、「処罰されることのない、いい加減なものを作ろう」ということではなくて、向かうべき方向は非常にはっきり決められています。「取締役の職務をきっちり管理しなさい」、「会社全体の業務を的確に管理しなさい」、「会社の財務に関わる情報書類を適正に処理しなさい」、そして「これらの体制整備をしなさい」ということです。つまり、体制の整備というのが内部統制の基本的な枠組みであり、しくみでもあるんですが、どういうしくみを作るかは各々の企業の裁量に任されているといえます。

内部統制の重要性が強くなってきたのには他に背景があるのでしょうか。

　社会全体の流れからも内部統制の必要性は高くなっていますね。
まず、内部統制の必要性が叫ばれるようになった第一の背景に、我が国の金融政策の転換が挙げられます。我が国ではアメリカと違って、家庭のお金が“寝ている”。いわば銀行でゆっくり休んでいるという状況にあります。アメリカの場合は家庭のお金の4割くらいが株式投資にまわされ“お金が汗水たらして働いている”状態であるわけです。そこで金融庁は、「これでは我が国は国際競争に勝てない」と、株式投資を推奨するように大きく国策の舵をきったのです。
　株式市場というのは本来、信頼を基盤にしなければ成り立ちませんよね。企業が正しい情報を公開しているから、投資する人は安心して自分の判断で投資ができる。投資家が企業に「ウソをつくな! 自分の成績を正確に伝えなさい。投資家はそれを見て判断しますよ」といえる健全な関係を築かなければならない。そのためには、企業は内部統制を行なって経営状況や財務状況を正確に報告する義務があるわけです。

社会全体の流れからも内部統制の必要性は高くなっていますね。

　そうですね。内部統制が重要となったもうひとつの大きな背景として、社会環境の変化にともなう会社経営の複雑化や高度化があげられます。たとえば製品の欠陥隠しや契約上の不正行為、セクハラなど、さまざまな企業の不祥事が取り沙汰されますが、その要因には、やはり会社組織の複雑化や肥大化にともなって細部にまで目が行き届かなくなってきたという背景があるように思います。
　 またIT化の普及にともない、システムのプログラムひとつが混乱するだけで、ネットワークが止まり、会社全体が止まってしまうという、とんでもない事態が発生する危険性もある。さらに、業務委託や人材派遣という形で本体の業務をどんどん外に出す企業も増えるなど、社内だけでなく「外側」もしっかり管理しなければならなくなってきた。つまり、今までの管理体制、今までの経営方針では全体をコントロールできなくなってきたんですね。
　 それを象徴するエピソードがあるんですが、先日、ある社長が私に「俺はもう会社をやめたくなったよ」とつぶやかれたんです。「なぜですか?」と伺ったら、「会社がよく見えなくなった。だけど後ろからは『責任だ、責任だ』と叩かれる。問題が起きたら『土下座しろ』と責められる。実のところ、何が悪いのかわからないし、何をどうしたらよくなるのかわからない」ということなんです。会社がすごく複雑になっているのに加えて、ITの問題なども出てきて、“にっちもさっちも行かない”という混沌とした中に経営者の皆さんがいる。こうした状況があるからこそ、経営者や経営ボードが会社の全体像を見て戦略を立てられるしくみを作らなければならないと思います。また、事業を展開するうえで起こりうる危険性や脆弱性を想定しなければならない時代だからこそ、体力のある企業にしなければならない。そのためにはしっかりと内部統制をして、万一の事故が起きてもきっちりとした対応ができるような体制を作らなければなりませんね。

では体制を整備するための構成要素としては、どのようなものがあるのでしょうか。

　基本的には、“パーツであり、システムであり、理念である”と考えています。たとえば、パーツとしてPCやセキュリティソフトや帳票などがあるとして、それをシステムとしてどのようにコントロールするかという問題があります。また、そのシステムを会社全体でどのように活用して、どのように革新していくつもりなのかを経営戦略のなかで取り扱っていく必要があるでしょう。
　 さらに、体制の整備という観点からとらえてみると、まず業務の内部統制は“記録”から始まります。そもそも記録ができていないものは統制もできないし、管理もできない。ですから、業務改善の第一歩は何はともあれ、記録です。記録をしたら、今度はそれを点検しなければいけないし、点検したら最終的に監査をしなければならない。そこで初めて、“記録･点検･監査”というものが本来のしくみとして動的な意味を持ってくるわけです。そして、「何を記録するのか」といったルールを作って、そのルールに従って記録･点検･監査という流れを動かしていくというようなことが、体制の整備の中身になってくると私は思っています。

金融商品取引法施行の時期は2008年4月という理解でよいのでしょうか。

　そうですね。対応のタイミングは「2 0 0 8 年4月以降の決算期から」ということです。企業によって決算期は違いますから、2 0 0 9 年からという企業もあるでしょうが、当然のことながら思い立ったからすぐに実行に移せるものではありません。ですから施行時にはかなり準備ができていないといけませんね。さきほど申し上げた理念やシステムができていて、その一番下ではパーツが動いていないといけない。でも、そういうしくみがたったの1年や2年でできるはずはないですね。
　 私は、このしくみ作りは5年、10年先、あるいは20年先まで続く長い闘いだと思っています。インフラの整備ですから、2008年や2009年に完成させるのは無理な話です。とはいえ、2008年4月以降の決算期に義務化されるわけですから、それに向けての準備を進めなくてはなりません。内部統制を一気に進めようとすると、投資面でも非常に大きな負担を強いられることになりますし大変な作業だと思います。しかしそれは一気にことを成そうとするからです。実施基準の公開草案で「その企業にとって最も重要なことからやりなさい」と述べられているように、自社にとって最も重要視する問題を明確にとらえて、そこから着手すればいいのです。一番危険の大きい業務課題に最初に取り組んで、次に二番目、三番目と計画を立てていけばいいわけです。その二番目、三番目の項目は穴があいているのではなくて、計画としておさえていれば正当に評価されます。
　 もうひとつ。公開草案には「ひとつひとつの業務プロセスの内部統制で目標を明確にしなさい」という趣旨が盛り込まれています。これは何を意味するかというと、ただ漠然と内部統制に取り組み、そのためコストがかかりましたでは済まされない、ということです。企業としては投資家のお金を使う以上、何に使って、どのような成果を達成したのか報告する必要があります。そうなると、まずコストをかける前にしくみを考える必要がありますし、「何をいつまでに、どのように変えるか」という内部統制計画を立てなければならないですね。その計画にしたがって「1年目はここ、2年目はここ、3年目は_」と報告すればいい。重要なのはそのレベル感を決めることです。

万一事故が起こった際には、経営者はどのような形で責任を追及されるのでしょうか。

　責任の追及という面では、これからは万一事故が起こったときに「内部統制を行っていたかどうか」が常に問われてきます。アメリカでは「証拠を隠したりしたらとんでもないことになるよ」と刑罰でコントロールしようとしたのですが、我が国の場合は、事故や問題が起きた場合に、株主代表訴訟、あるいは会社から役員が訴えられるという形で経営者責任が追求されます。でもその際に、経営者が内部統制をしてきっちり管理していた、ベストエフォートをしていたということであればセーフなんです。適切な対応がなされていた場合には免責されます。しかし、何もせず、管理責任を怠っていて「知りませんでした」では、まかり通らない。そうなると、会社全体で法的責任を負わなければならない。民事責任だけでなく刑事責任という形で、ひとつひとつ罪を問われることになります。

ITへの対応が明示されている点も金融商品取引法の大きなポイントですね。

　アメリカではSOX法のベースであるCOSOレポートができたのが1992年ですから、ITの問題は語られていなかった。しかし、まさにいま作成中の我が国では「ITに対応すること」が基本的な考え方として盛り込まれています。これは、先ごろ発表された金融商品取引法の実施基準の公開草案の中でも明言されています。今日の大企業でITを利用していない企業はありえませんし、情報のやり取りも電子メールが基本になっている。私の事務所もそうですが、ネットワークの調子が悪くてメールが使えなくなると、その時間だけ業務が止まってしまうことがあります。ITをきっちりコントロールしなければ、業務に大きな支障をきたすということが現実問題として出ているわけです。
　 IT統制というのは「ITを利用しましょう」ということだけではありません。内部統制にはいくつかの基本要素があります。統制環境、統制活動、モニタリング（監視）、情報伝達といったものですね。これらの基本要素を有効に機能させるにはITが必要なのです。モニタリングにしても、情報伝達にしても、ファイルサーバやメールなくしてできませんよね。また、システムの制御や保守、情報セキュリティなどの基盤の整理ができていないと、「IT統制ができていない」ということになるわけです。こういう現実を見据えて、実施基準がITの重要性を強く訴えているのだと思います。ITは我が国の内部統制にとって名実ともに重要なものになってきたということです。

どのような考え方でIT統制に取り組めばいいのでしょうか。

　これからシステムはますます複雑になるでしょうし、そうなると非常に多くのデータを扱うことになりますね。たとえばモニタリングの監視データを報告するよう指示を出したとすると、ものすごい数のメールが経営ボードに飛んでくることになる。そうなると「ちょっと待てよ。IT化するほど仕事が増えるぞ。ものが見えなくなるぞ」ということになります。これでは本末転倒です。「情報は正確に的確に取る。しかし経営ボードにはそのなかで重要なものを絞り込んで伝えていく」といった、システム構築の理念が必要になってくる。
　 今までは優秀な中間幹部の個人的な裁量で、「これはトップに伝えること。これは自分で飲み込むこと。ミスしたら俺がクビになればいい」と情報を管理していたケースもあったでしょうが、2007年以降、団塊の世代がどんどん退職すると、優秀な中間管理職層が不在になってしまう。そこでこれからは、大量に発生するデータに対して「どのように権限配分して、誰に判断させるか」、「判断させた後に何をトップに報告するか」といったルールを作ることが必要になってきます。ただ、ここでひとつ注意しなければならないのは、現場で生まれた最も重要なデータが隠されることなく、バイアスをかけられることなく、トップに直接届かなければならないということです。

では、最終的なあるべき姿とは、どのようなイメージでしょうか。

　その企業にとって「何が大事か」という情報のヒエラルキーがありますね。たとえば、重大な危機的トラブルが発生した場合は、トップに直接報告されなければならない、それ以外は部長まででいい、という判断です。これを人がやるのではなく、データベースがデータマイニングしながら、時々刻々とデータを処理して報告されていくようなシステムが必要になってくるわけです。
　 たとえば新幹線の運行パネルのようなものを想像してみてください。トップはその大きなパネルの前で常に全体を見ながら判断を下せる。また、「あそこで困っているお客さんがいるぞ。すぐに調査部隊を出せ」といった対応もできる。全体を常に見ている管理者、あるいは経営ボードがいるということと、それが見えるしくみができているということ。そうした「鳥瞰図」のようなシステムが本当に必要とされるようになってきます。ITの力を活用した“自分のことを自分が見ることができる”しくみ作り。これは壮大な作業になるかもしれませんが、IT整備の本質的な取り組みかと思っています。

先生は個人情報保護法を例にとって過剰反応への警鐘を鳴らされていますね。

　個人情報保護法施行の際に、過剰反応をあおった張本人のひとりが私でもあるんです。「情報漏洩は怖いぞ。もし事故を起こしたら、何十億、何百億の損失だぞ」と企業をけしかけてしまった。そうしたら、皆さん萎縮して個人情報をまったく使わなくなってしまった。そもそも個人情報は上手に活用すれば消費者にも大きなメリットがあるわけですから、その意味で私は世の中に対して謝罪しなければなりませんね（笑）。
　 さて、今回の内部統制の話ですが、いま求められているのは「自分の身の丈に合った考え方をして、ハードルの高さも自分で決めなさい。誰かが客観的に決めてくれるものではありませんよ」というものです。これは公開草案のなかでも「一律には定められない」という言葉で何ヶ所にもわたって明記されています。内容は一律には決めないし、レベル感も一律には決めない。個人情報保護法のように、行政庁が責任を持ってガイドラインを出し、「こうしなければ許しません」といっている世界ではないんです。過剰反応という同じ過ちを繰り返してはいけませんね。
　 ただし、ひとついっておきたいのは、個人情報保護法対策で取り組んだセキュリティ対策や情報管理などの作業は決して無駄ではないということ。内部統制では、それを横展開･縦展開すればいい。いままで入っていた個人情報の代わりに自社の法人情報を入れてそれをコントロールする。または労働環境情報を入れて労務管理を徹底する。さらに、関連会社や外注先の情報を入れれば委託先の管理ができる。そのようにコンテンツを入れ替えることでシステムを横や縦に展開していけば、十分使えるわけです。なにも異質なことを始めるわけじゃない。同質なことを一歩踏み込んで展開していくという作業をしていけばいいと思います。

先生は比喩として体調管理のお話もされていますが。

　内部統制を自分の健康管理にたとえると非常にわかりやすい。自分の身体の場合、「体調が悪いな、なんか頭が痛いな」だけでは管理上不十分で、「いま頭が痛いのは血圧が下がっているからで、その原因は過労だ」とわかっていれば、「じゃあ、今日は車の運転をするのはやめておこう」といった的確な判断ができますね。常に血圧や脈拍が測られ、それがモニタリングされ、自分がいま何の薬を飲んでいるかといったことがわかっている企業でなくてはならないということです。企業がひとつのネットワークのように全体の情報を共有しながら、きっちりと動ける。神経系がちゃんと機能して、情報をコントロールして、適切な指示が出せる。そういう実感を持てるようになればいいと思いますね。

そのためには、身体の各部が担う役割も重要ですね。

　いままで主に経営トップの視点でお話をしてきましたが、内部統制は会社全体で取り組むものです。経営者だけでなく、従業員の皆さんの役割も大きいと私は思っています。というのも、業務改善は現場でなされることですし、現場で情報を「握ってしまう」ことが一番怖いからです。情報をもみ消したり、違った内容で伝わったりすると、真実が見えなくなってしまう。だから、正しい情報を伝えることが、いかに大切であるかを現場に明確に示して、合理化していくことが必要です。正確な作業や情報伝達をすることで無駄や危険が減少すれば、より安全になって生産性も上がる。そうなれば仕事が楽しくなるし、仕事に誇りが持てるようになり、その結果、給料やボーナスも上がる、といったメリットの連鎖を理論づけて説明することですね。そのためには、内部統制をする経営トップの戦略と、実際に改善を進める現場の協力と情報の管理、この歯車がかみ合わないとうまく進んでいかないと思います。
　 内部統制というのは、なにも突然生まれた考え方ではなく、むしろ会社経営の基本だと思います。昔は見えていたけれど、大きくなって見えなくなったものをもう一度“見える”ようにするしくみ作りです。ですから、肩肘張って難しく考えなくてもいいんです。COSOフレームのような難しいことは棚上げにして、むしろ現場の人が考えているフレームワークを基本において進めていけばいいんじゃないかと思います。
　 我々がいま実施しようとしている内部統制は、非常に緩やかな統制です。「なにもあせることはない。自分の頭で考え、自分の足で歩いてください」というのが私のメッセージです。事前の準備もなく富士山にいきなり駆け足で登り始めたら、すぐに倒れてしまいます。しっかりと準備をして、頂上を見据えながら、ゆっくり一歩一歩確実に山を登っていきましょう。

Business ADVANCE 「リーダー戦略考」で取り上げたテーマに関するリンク集です ! 今回は「内部統制」等に関する所轄省庁等の公式サイトをご紹介いたします。 ■牧野氏が公式ホームページ内でシリーズ解説 ・牧野総合法律事務所　弁護士法人「内部統制」 http://www.makino-law.jp/research/index.php?catid=81&blogid=12 ■法案所轄省庁等の公式サイト ・金融庁「企業会計審議会」 http://www.fsa.go.jp/singi/singi_kigyou/top.html ・法務省民事局「会社法の概要」 http://www.moj.go.jp/HOUAN/houan33.html ・中小企業庁「よく分かる中小企業のための新会社法33問33答」 http://www.chusho.meti.go.jp/zaimu/kaisya/kaisyahou33/kaisyahou.htm