セキュリティ対策コラム米国企業改革法(SOX法)と内部統制(ガバナンス)

米国上場の大企業が米国企業改革法(SOX法)に対応して1年目を経ましたが、米国での対応状況や日本版SOX法の動きについてシリーズで報告します。また、5月末には米国での訪問調査を予定しています。米国訪問にご興味のある方は、筆者のメールアドレス(文末に記載)までご連絡ください。

1.はじめに

米国企業改革法(SOX法)が今日大変注目されています。SOX法は企業における財務会計の問題ですが、ITの問題、情報セキュリティの問題とも認識されているところです。またSOX法では企業の信頼のおける適性な財務会計の報告が担保できるようにするため、内部統制(ガバナンス)を求めています。

2.何故今ガバナンスか

(1)ガバナンスとは

ガバナンスは企業経営の基盤として1990年代から使われ、その初めは1992年英国キャドベリー委員会「ガバナンスの財務側面に関する報告」が契機と言われています。企業の不正に対して、会計基準の強化や監査体制の強化により対応してきましたが企業の不正はおさまりませんでした。そこで、サッチャー政権下では、企業経営における内部統制の構築・運用を義務付けようとしました。OECDではガバナンスを「企業を効率的に経営し、経済的繁栄を最大にするための規律と支配に関するもの」と定義しています。規律と支配は、社内に構築され、運用される体制及びプロセスであり、その目的は、コンプライアンス(法令遵守)の確保、財務報告信頼性の確保及び業務の効率化を挙げることができます。すなわち、企業がその業務を適正かつ効果的に遂行するためのものだといえます。

また、リスクマネージメントも関係しております。企業活動では内外のリスクをいかに回避、縮小して企業目標を達成することが必要になります。従って、ガバナンスはリスクマネージメントと一体となってPDCAプロセスを回してステップアップしていくものと理解されています。また、今日リスクはマイナス面ばかりでなく、プラス面を捉えてビジネスチャンスとしていくことも重要であることが指摘されているところです。

SOX法については、後述していきますがSOX法で求められている有効な内部統制を実現していくために、必要な戦略的な技術は何かについて聞いたアンケート結果では1番目に内外のセキュリティ対策、2番目は文書の記録管理で3番目に業務プロセス管理と続いております(図1参照)。セキュリティは、このようにガバナンスの要であると言うことができるでしょう。

SOX対応における重要技術課題の図

(2)ガバナンスが求められる背景

近年環境問題や事業のグロバール化、規制緩和などにともない自己責任範囲が拡大する一方で、個人情報保護法、日本版SOX法等による規制強化への対応等、企業の社会的責任(CSR)が増大しています。また、企業の内部環境も変化しつつあり、雇用の流動性や企業間連携の多様化、事業運営の多様化が起きています。このようなめまぐるしい内外の環境変化から、経営管理のあり方が問われるようになりました。社会的責任を果たし且つ経営を効率的に実現するために、ビジネスプロセスと企業内環境の整備を実現するガバナンス(内部統制)が強く求められるようになってきたということです。

3.米国企業改革法(SOX法の概要)

(1)トリガを引くSOX法

2002年に米国においてエンロンやワールドコムといった大企業が不正経理問題を起こし破綻してしまいました。このような巨大企業破綻の問題は、投資家たちを保護し信頼を与える全ての法制度に欠陥があったとの認識から、米国では会計原則、企業情報のディスクロージャにかかわる法制度、監査人の独立性等々について全面的に見直し、企業改革法(サーバンスオックレー法:SOX法)として2002年に制定しました。不正事件から何と8ヶ月という速さで成立させており、エンロンやワールドコムの事件がいかに大きな事件であったかを伺わせます。

(2)SOX法の概要

この法律は、上場企業に対して最も広範な影響を与える法律であり、企業の財務報告を公正、適切に実施するために企業内部のガバナンス(内部統制)を強く求めており、その監査を義務付ける厳しいものです。このSOX法をトリガーとしてガバナンスが広く注目されてきました。SOX法は次の11章からなっております。

  1. 公開会社会計監視委員会
  2. 監査人の独立性
  3. 会社の責任
  4. 財務ディスクロージャーの強化
  5. 証券アナリストの利益相反
  6. 証券取引委員会の財源と権限
  7. 調査および報告
  8. 2002年企業不正および刑事的不正行為説明責任
  9. ホワイトカラー犯罪に対する罰則強化
  10. 法人税申告書
  11. 企業不正および説明責任

この中で特に特徴的な条文について簡単に説明してまいります。

  • 302条

    毎年の財務報告について、正当であることを示す証明書をCEOおよびCFOが提出すること
    ―財務報告に関する経営者の責任(民事責任)―

  • 404条

    内部統制を実施・評価し、独立した監査機関よる監査をうけること
    ―経営者による内部統制の有効性の評価―

  • 906条

    ―経営者の財務報告に関する責任(刑事責任)―

  • 409条 

    リアルタイム情報開示として、財政状態及び経営成績に重大な影響を及ぼす場合は、情報開示しなければならない。

次回予告

次回は、SOX法が求めている内部統制を実際に構築・運用するために必要になってくるフレームワークの紹介と米国でのSOX法への対応状況を報告します。

東京大学
国際・産学共同研究センター
客員教授
林 誠一郎

このページの最上部へ