「継続的なコンプライアンス」を確立せよ

GRCの統合アプローチで、企業価値の向上を目指す

（2008年01月23日）

日本版SOX法（金融商品取引法）が2008年4月1日以後に始まる事業年度から適用開始される。今後、企業におけるコンプライアンス活動は、同法への対応を機に構築した内部統制基盤に対して、運用の維持および継続的な改善を図っていくフェーズに入ることになる。その際、経営層、ビジネス・マネジャー、そして自社のITインフラを担うIT部門は、どのようなスタンスで臨めばよいのか。本稿では、GRC（Governance/Risk/Compliance）のアプローチから継続的なコンプライアンスを確立し、企業価値の向上につなげていくための方法論について考察する。

浅利浩一
アイ・ティ・アールシニア・アナリスト

主体性に欠ける大企業──J-SOX対応の状況

　コンプライアンスというテーマを考える際に、2年ほど前より、日本の上場企業にとって最大の関心事となってきたのが、いわゆる日本版SOX法（金融商品取引法）への対応、そして同法への対応の基盤となる内部統制であろう。これらが話題になり始めた当初、筆者が所属するアイ・ティ・アール（ITR）には、顧客企業などから、「どの程度まで対応すべきなのか」「他社ではどのように取り組んでいるのか」「どのようなツールを使うべきか」といった問い合わせを数多く受けた。金融商品取引法が2007年9月に法制化され、適用開始が迫ってきてからは、そうした問い合わせも沈静化しており、企業における内部統制／日本版SOX法対応は、表面的には一段落したかのように見える。

　しかし、実態としては、「対応するための負担が大きく、終わりが見えない」「対象範囲がさらに拡大しつつある」といった声を、当初に想定したよりも多く耳にする。内部統制／日本版SOX法対応を“負担”ととらえる担当者の取り組みの姿勢は受動的であり、最低限の対応にならざるをえず、外部のサービスに依存する割合が高くなる。特に、連結子会社など対象範囲が広く、作業量の多い大企業において、そういった傾向が見受けられる。

　一方、中堅・中小企業では、予算上の制約もあって基本的に自社従業員での対応が中心となり、外部サービスへの依存度が低いのが特徴だ。そのため、みずからの手で地道に内部統制に必要な文書化作業を進めるなど、むしろ大企業よりも、地に足がついた活動ができているところが多いようだ。

　内部統制に限らないが、文書化のような作業は、他人任せの姿勢では、結局のところ意味をなさなくなってしまう。内部統制構築後の運用フェーズを考えると、作成された文書を読んで理解できるというだけではなく、その後の更新も自身で行えるようにしておく必要があるからだ。そして、「どこに手を入れるべきか／どのように変更点を反映させるのが妥当か」といった判断が求められる文書の更新は、むしろ作成より難易度の高い作業となり、担当者のスキルが問われることになる。

　現在、日本版SOX法の適用対象となる企業の多くは、2008年3月を最初のゴールに設定して作業を進めていることだろう。ただし、同法への対応をはじめとするコンプライアンスは、ある時点で終着するのではなく、継続的な活動が求められるものである。適用開始を目前にしながらも、このことは、あらためて認識しておく必要がある。

複雑化・多様化する法規制と求められるGRCのアプローチ

　まずは今、最も関心の高いコンプライアンスとして、内部統制／日本版SOX法への対応状況について述べたが、近年、企業を取り巻く法規制は複雑化・多様化しており、大別すると以下の4群になる。

■企業全般コンプライアンス

　不正競争防止法、労働基準法、男女雇用機会均等法、京都議定書、ISO14000（環境ISO）、特許法、確定拠出年金（日本版401k）、自由貿易協定（FTA）、WTO（世界貿易機関）協定）など

■会計コンプライアンス

　SOX法、金融商品取引法（旧・証券取引法）、会社法（旧・商法など）、外国為替および外国貿易法、国際財務報告基準（IFRS）、インサイダー取引規制など

■セキュリティ系コンプライアンス

　ISMS（情報セキュリティ・マネジメント・システム）、個人情報保護法、プライバシーマーク制度、ISO/IEC15408（情報技術セキュリティ評価基準）、情報セキュリティ管理基準など

■産業別コンプライアンス

　Basel II（新BIS規制）、薬事法、HACCP（危害分析重要管理点）、建築基準法、PL（製造物責任）法、REACH（化学物質の登録、評価、認可および制限に関する規則）、ワッセナー協約（通常兵器および関連汎用品・技術の輸出管理に関する協約）など

　今日の企業は、上に示したような、自社／自業界を取り巻くあらゆる法規制を、全社的なガバナンス（統治）およびリスク・マネジメント体制の中で位置づけ、推進していく必要がある。その対象領域は拡大傾向にあり、一般に「GRC（Governance/Risk/Compliance）」と呼ばれる、統合的・包括的な取り組みが求められるようになってきている（図1）。

図1：企業に求められるGRC（Governance/Risk/Compliance）

　リスク・マネジメントは企業経営の根幹であり、対応を誤ると、契約不履行や法違反による訴訟、企業倫理の欠如による事故や不祥事、企業イメージの急激な悪化などが連鎖的に発生し、最悪の場合、事業・経営を継続するのが困難になるほどの致命的なダメージをもたらすことにもなる。

　製品の品質について世界的に高い信頼を得ていたはずの日本の電機メーカーも、リチウムイオン電池の発火事故などトラブルが相次ぎ、大きな痛手を受けたことは耳に新しい。最近では、食品衛生管理やトレーサビリティにまつわる不祥事も終わりを知らないような頻発ぶりである。名門企業、有名企業であるというだけでは、もはや顧客の信頼を獲得し続けていくことは難しい。

　そこで求められるのが、GRCを継続的に実施できる体制の確立である。ガバナンス／リスク・マネジメントの下、各法規制への対応を確実に実施することで、自社の企業としての価値を高いレベルで保つためのGRC基盤。──その構築と運用において、経営とITが密接に結びついた今日、IT部門の果たすべき役割は非常に大きい。

｜1｜2｜3｜ > 次のページへ