SOX法のコンプライアンス──5年目の真実──ボーイングの教訓から適切な監査レベルを学び取れ
Computerworld オンライン米国版
5年前の7月30日にSOX法(Sarbanes-Oxley Act:米国企業改革法)が制定されて以来、企業のIT部門は会計監査人や運営監査人とともに、自社のセキュリティ/プライバシー保護対策のテクニカル・インプリメンテーションが実際に意図したとおりに機能しているかどうかをチェックしなければならなくなった。企業のトップは、この監査プロセスを経ることでSOX法を遵守していることを実証し、エンロン経営陣の悪夢の退陣劇を自らが体験することを免れているのだ。
現在、ほとんどの株式公開企業は、自分たちなりのSOX法コンプライアンスの検証方法を見いだしている。そのため、近い将来、巨大な企業崩壊が起きる可能性はきわめて低いと言える。しかし、だからと言って、混乱した、わけのわからない検証方法が存在しなくなったというわけではないし、会計監査人やコンサルタントが自己の利益を追求するためのプロセスを生み出す理由を見つけられなくなったというわけでもない。
数年前には、米国ボーイングは、コンプライアンス・プロセスを十分に理解しているように見えた。実際、同社がプロセスを改善し、それをどれだけきちんと管理できているかについて、ボーイングのコントローラー、ハリー・マクギー氏は当時次のように話していたものだ。
「(SOX法の)厳しい規制条件に加え、社内における財務管理プロセスを徹底的に見直しテストすることによって、継続的なプロセス改善に向けた種をまき、ボーイングの将来のビジネスのあり方を変革する後押しをしている」
そんな同社がなぜ今になって、SOX法のコンプライアンスに関してマスコミをにぎわすことになったのだろうか。
仮にボーイングが、大半の企業と同様に、1社の監査法人に会計監査とIT監査の両方を依頼していたのであれば、監査結果が異なることはなかっただろう。
だが、ボーイングは「複数の」監査チームとコンサルタントを雇っていた。そして、これらの間で異なる見解の監査結果が出されたため、調査をさらに続けざるをえなくなったのだ。つまり、同社の“まじめさ”が災いして、大抵の企業なら取り繕えたはずの問題がマスコミで騒がれることになってしまったわけである。
SOX法の意義
企業による不正行為の防止あるいは摘発を目的とするSOX法の情報システムに関する条項については、「テクノロジー発展のペースに対応できるよう十分な柔軟性を持たせている」との解釈がなされている。この件に関し、サーチセキュリティ・ドットコムのデニス・ブルーワー氏は次のように説明する。
「SOX法で求められている『会計報告に関する適切な内部統制』というのは何ともあいまいな言い回しだが、あいまいさを残しているのは、それなりの理由があってのことだ。細かい規定をあえて記さないことで、規制当局はテクノロジーの進化に伴ってコンプライアンス条件を増やせるように、“動く標的”を設定しているわけだ」
なるほど聞こえのいい理論だが、こんな話は現実には機能しない。確かに、「不正行為の防止」という観点で見た場合には、SOX法はまずまず成功していると言えるだろう。だが、それを実現するためにSOX法監査企業はいったいどれほどのコンサルティング料金を請求しているだろうか。また、SOX法に基づく監査にどれだけの機能的な乱れが生じているだろうか。
ある年の会計およびITの内部監査プロセスが、翌年、そしてまた次の年の新たなプロセスと統合され、その結果、必要とされる記録管理および分析作業が本来のビジネス業務を上回るようになる――そんなことになったのでは、まさに本末転倒だ。
こうした観点から見れば、SOX法というのは、あまり有能でない者にとっては苦労ばかりを強いられる規則以外の何ものでもなく、一方、うまく立ち回るすべを知っている監査/コンサルティング・ビジネスにとっては、“おいしいことだらけ”の法律のようだ。いま振り返ってみると、ボーイングのマクギー氏が“まいた”「継続的なプロセス改善の種」は、救い難いほど楽観的で甘かったと言えそうだ。
細かすぎる数値
断っておくが、筆者はSOX法の意図を批判しているわけではない。「あいまいな指針が望ましいという考え方」に異を唱えているだけだ。企業における技術統制――すなわちITシステムとネットワーク――が、財務管理条件をセキュリティとプライバシー・ポリシーを通じて正確に実装しているかどうかを審査するというSOX法の本来の意図は、もちろん非常に重要である。
資産と統制を見極め、テストを行って実質的な弱点を見いだし、内部統制が機能していることを確認すれば、統制がうまく機能しているかどうかの感触は得られるはずだ。うまくいっていない場合には、文書化が必要になる。
もっとも、これから得られるのはあくまで「感触」である。SOX法コンプライアンスのための事実上の公式団体であるPCAOB(公開会社会計監視委員会)が業界とともにコンプライアンスの審査方法/監査方法の標準化に取り組んでいるが、いまだに測定基準は統一されていない。
PCAOB は、米国トレッドウェイ委員会組織委員会(The Committee of Sponsoring Organization of the Treadway Commission:COSO)が提唱するCOSOフレームワークを推奨しているが、実際にはITガバナンス協会(ITGI)の「COBIT (Control Objectives for Information and Related Technology)」が使われることのほうが多い。
また、アウトソーシングされたサービスの審査には、米国公認会計士協会(AICPA)が策定した監査標準「SAS 70 Type II」や、「WebTrust」監査規準などが使われている。このように多くの規格が存在する中で、一部の監査人や査定人は今もなお、自分たちを特別視しているからか、あるいはそのほかのすべを知らないからか、独自の手法を貫いている。
SOX法コンプライアンス・レベルを、小数点以下何ケタもの数字を並べたパーセンテージで表して報告書を作成するような監査人、査定人、あるいはコンサルタントは、いずれも勘違いをしているか、さもなければ“うそつき”である。
資産価値、技術統制の性質および状態、そして検知した弱点が及ぼすであろう影響について、そこまで細かい数字で評価できる人なら、毎日の雨量でさえも小数点第4位まで正確に予測できるはずだ。
それができないというのであれば、コンプライアンス・レベルに関する数字も当てにはならない。重箱の隅をつつくようなつまらない点ばかりを指摘したがる監査人には、速やかに退出していただこう。
適切な監査レベルを見極めるのは
企業幹部の仕事
規制当局、監査人、コンサルタントの立場からすれば、SOX法は、量を増やすほどどんどん衣服をきれいにする“漂白剤”のようなものだ。
しかし、それとは違う立場にある企業幹部であれば、自分たちのビジネスの“生地”、すなわち構造を理解し、それに見合う適切なレベルのSOX法審査を決定するべきであろう。既製の測定手法以上の、しかしビジネスを破綻させることが決してないような、適度なレベルの審査を。
この姿勢を見事に示してみせたのが、先に紹介した報道に対するボーイングの対応ぶりだ。監査人がコンプライアンスを巡って些細な問題を1つ、2つ突きつけても、見事に無視してしまう――これこそ、正しい行為だ。特に、そのときに同社が発表した以下のコメントは注目に値する。
「(SOX法の)遵守とは、1つの誤りも許されないということではない。求められているのは、内部統制構造におけるいかなる誤りをも効果的に見極め、審査し、改善するための機構の設置だ。また、同法は、これらの誤りの重要度に基づいた適切な報告義務と、誤りを適切な期間内に改善する義務を企業に負わせている」
しかもこのコメントを出したあと、ボーイングは、雇った監査法人の間に見られたコンプライアンス測定値の差異は深刻なレベルではなかったと、丁寧に説明している。
査定人または監査人による分析レベルが、プロセス/技術統制に欠陥があった場合にさらされるリスク・レベルを正しく反映できるものであるのかどうか、ボーイングのような事態に陥る前に、企業は今一度確認しておくべきだろう。財務およびプロセス統制に関する監査がビジネス・パートナーから世界中のサービス・プロバイダーへと広がり始めた今日においては、このことは特に重要である。
また、基本的なビジネス・プロセスが文書化されていない企業においては、さらに深いレベルの査定、ならびに「リピータビリティ(再現性)」と「役割」に関する話し合いがぜひとも必要である。
しかしながら、もし前年の監査結果で投資家の資金が目標どおりに集まっており、また経営陣が従業員の401k(確定拠出型年金)プランで私腹を肥やしていないことがはっきりしているのであれば、SOX法監査人がランチを囲んでディベロッパーとファンクション・ポイント分析(FPA)について話し合う必要など、ほとんどないのだが……。
