日本版SOX法

 6月7日、「日本版SOX法」のもとになる金融商品取引法が成立しました。この法律は、証券取引法などの一部を改正するもので、「村上ファンド」のような投資ファンドに対する規制を強化するような株取引に関するものだけではなく、企業の内部統制に関する報告書を義務付けし、四半期決算の法制度化など企業に対しても今まで以上のきちんとした情報開示が求められるようになります。

 対象は上場企業、2009年3月期の決算からとなっていますので、中には「じゃ、うちには関係ない」と思われる方があるかもしれません。しかし、私は決してそうではないと思います。

 

個人情報保護法の場合、5千人以上の個人情報を有しない場合は対象とはなりません。しかし、実際は、5千人以下の個人情報しかない企業でも、個人情報保護法に準拠した業務プロセスを行う企業は多くあります。というのは、一般の人にとっては5千人以上か以下かは関係なく、情報を丁寧に取り扱ってくれない企業は信頼できないと考えるからです。

 同様に、日本版SOX法でいわれている内部統制の強化は、やがては必ず中小企業にも波及していくはずです。もし、業務手順の見直しやシステムの開発を検討中の企業でしたら、考慮すべき事項として記憶してください。

 内部統制とは具体的にどのようなことをいうのでしょうか。企業会計や財務報告の透明性、正確さを高めるために内部できちんと業務チェックすることをいいます。もちろん、今までも監査役を含め業務に対するチェックシステムを構築している企業もあるでしょうが、それらが可視化されなければなりません。可視化と難しい言葉で表現しましたが、要は文書にして記録をはっきり残すようにするということです。

 「また、書類が増えるの?」「これ以上何すればいいの?」という声が聞こえてきそうですが、それは少し違います。内部統制はみなさんの行っている業務をチェックすることです。チェックするためには、業務手順が文書化している必要があります。(口頭では何とでもなりますのでチェックできません)もし、ISO9001や14001で業務手順を文章化しているのであれば、それを内部統制できるように変更するだけなのです。

 しかし、ここでひとつの重要なポイントがあります。今回の内部統制の目的としては、以下の4つがあげられています。

 ・業務の有効性・効率性
 ・財務報告の信頼性
 ・法令等の遵守
 ・資産の保全

ポイントとは、この1番目「業務の有効性や効率性」が、ISO導入時に検討されていたかどうかです。 私の知っている限り、多くの企業はISO導入時、現状の業務手順を形にしただけでした。効率性を重視したり、有効性を検討したりはせず、文書化して誰でもわかるようにすれば、それでよかったのです。中には、検討して改善されたものもあるかもしれませんが、品質・環境にかかわることだけで、全社的な取り組みにはなっていなかったのではないでしょうか。
 ISOが辛く面倒なものと感じる根本原因は、ここにあると考えます。つまり、業務手順を見直し、効率的で有効性の高い仕組みを導入することなくISOを実施しているので、余計な業務が増えたように感じるのです。例えば、作成・審査・承認と3つの枠しかない書類に、10個ぐらいのはんこが押してあるものを見かけます。これでは誰が責任をとるべきなのかさっぱりわかりません。中間管理職の方には、「中抜きだ」と不満を言われるかもしれませんが、3つの枠には3つのは
んこでいいはずです。それができていないので、有効性も効率性も確保できないのです。では、3つのはんこを押しつつ、関係者に情報展開できる方法はあるのでしょうか。それにはITの力が必要になります。次回はこれについてお話しましょう。