PR

誤解があまりにも多い

S そう突っ込まれるだろうと予想していました。私の考えを申し上げますと,総体として「誤解されているのかなあ」と思います。誤解という言葉が一番しっくり来ますね。「何々をすべし!」なんて誰も言ってないのに,色々な情報が過剰にあって,それらに惑わされ,企業は「何々をしなければならない」と思い込んでおられるのではないでしょうか。

Y 過剰な情報を撒いているのが我々だから頭が痛い。

S では情報システムの世界に関連するJ-SOXについて簡潔な情報を発信してみます。ちょっと乱暴ですが一言で集約すれば,「情報システム部門が正しいと思うことを,論理的に監査人に説明できれば,それでよい」ということなんです。でも,どうもそこまで胸を張って「正しい!」とご自分の論理を主張できるシステム部門の方があまりいらっしゃらない。これが現状で,そこから誤解が生まれていくのではないかと見ています。

Y その“J-SOX”という言葉からして気に障る。そういう不適切な呪文を使わずに,「内部統制報告制度」と言えば済むのではないの。

S 「金融商品取引法が規定する内部統制報告制度」が正しい言い方だと私も思います。ただ,これではあまりに長いので便宜上,日本版SOX法あるいはJ-SOXと言ったり書いたりしています。

Y 単なる記号というわけか。とにかく変だと思うのは,SOX法って米国のサーベインズ・オックスリーアクトの略称でしょう。正式名称は何て言うのだっけ。

S 「U.S. Public Company Accounting Reform and Investor Protection Act of 2002」です。これはいくら何でも普段書けないので,略称として発案者の名前をとった「2002年サーベインズ・オックスリー法」が使われ,さらにこれを圧縮してSOX法と言っています。一時,日本の新聞は「企業改革法」と訳していましたがこれは間違いです。

Y その「U.S. Public Company Accounting Reform and Investor Protection Act of 2002」を逐次翻訳して,それをそのまま日本で立法した,というならJ-SOX法と呼んでもいいと思うが,実態は違う。

J-SOXといってよい理由

S 仰ることはよく分かりますが,最近,以下の2点の理由から,J-SOXと言ってもよいのではないかと思うようになってきました。理由の第1は,「米SOX法がJ-SOXに似てきた」ということです。J-SOXという言葉の問題点は「(企業に過剰な負担を強いた)米SOX法を想起させる」点だと思います。確かに「J-SOXイコール米SOX法」という考えは,最近まで間違っていたのですが,ここへ来て米SOX法が変化してきました。

 具体的には,これまで採用していた監査基準「AS2(Auditing Standard No.2)」から「AS5」に変わったのです。AS5は,リスクが大きいものから統制を整備していきましょう,という考え方にそっています。これをリスク・アプローチと呼びますが,日本版SOX法と似ています。従来のAS2自体もリスク・アプローチの考え方は採用していたのですが,実際には「チェック・ボックス・アプローチ」になっていました。チェック・ボックスとは「すべてのリスクに統制を配備しましょう」という何とも凄いやり方で,監査法人などが保守的な考え方をとったため,こうなっていたのです。

 このチェック・ボックス・アプローチが企業に「過剰」な対策を迫っていたわけですが,AS5になって緩和されました。J-SOXと米SOX法では監査方法が違う,といった相違が残っていますが,監査方法についてもAS5は,AS2に比べて緩和されています。

 さらに,AS5に加え,中小企業向けの内部統制のフレームワーク「Smaller COSO」が公表されたことにより,米SOX法は「画一的に統制の仕組みを整備しろ」というアプローチから解放されたと言えます。つまり「米SOX法がJ-SOXを追っている」状況になってきました。こう言うと,金融庁などが喜びそうですが。

Y 法律のお国自慢なんて愚劣と思うが,それはさておき,まだ納得できないな。そもそも,米国のSOX法と,日本の金融商品取引法は,全体を比べたら,内容も,そもそもの狙いも違うじゃない。二つの法律の中から内部統制報告制度に関わるところだけ引っ張り出して,どっちもSOXだというのは変じゃないかあな。

S ところが「SOX」あるいは「SOX法」という言葉は,程度の差こそあれ,国際的に「内部統制の整備」あるいは「整備を求める法律」を意味するという共通認識ができつつあるのです。これがJ-SOXと言ってもよいのではないかと思う理由の2番目です。

Y 「なんとかSOX」という言い方が他国にもあるわけか。

S あるのです,英略語嫌いのYさんがのけぞりそうな名称が。K-SOX(Korean SOX)とか,C-SOX(Canada SOX)とか。C-SOXは外部監査は必要なく内部監査のみ,経営者が自社の内部統制の状況を開示します。ですから日本版SOX法より,負荷が軽い。それでもC-SOXと呼ばれています。K-SOXは「日本より先行している」という程度しか知らないのですが,内部統制関連の取材をしていると頻繁に引き合いに出されます。K-SOXで利用されたツールを輸入しているケースも日本では結構あります。

 さらに,最近ではSouth Africa-SOXや,China-SOXなども登場してきました。こうなってくると,J-SOXという呼称は仕方がないのかもしれません。それに日本の中だけで通じる言葉ではもはやないのですよ。今年の5月,独SAPのカンファレンスに参加するためアトランタに出張してSAPのカガーマンCEO(最高経営責任者)に会った時,こちらから質問もしていないのに,カガーマン氏が「J-SOX」と言い出した時には,さすがにのけぞりそうになりましたが。