 
|
||||||||||
|
  第2回 米国で議論白熱,企業改革のSOX法との関係で「事業継続計画の策定が義務付けられるか?」 [2006/02/23] いま米国では「SOX(Sarbanes-Oxley)法が事業継続計画(BCP)の策定を義務付けているか?」という議論が活発に行われている。一見すると,会計監査制度の充実および企業の内部統制強化を求めるSOX法と,事業継続や事故・災害対策であるBCPとは無関係のようにみえる。しかしSOX法は複雑な法体系を持っており,BCPとの関連性を無視することはできない。BCPを策定していなければ,SOX法の規定によって経営者に刑事罰が課せられる恐れすらある。 SOX法が規定する内部統制とBCP 「SOX法がBCPの策定を義務付けているか?」という疑問は,この法律に違反すれば刑事罰の適用対象にもなる米国の経営責任者(CEOまたはCOO)にとって,重大な関心事である。 SOX法は,エンロン事件をはじめとする米国企業の不祥事の続発に対して,米国政府が2002年7月に制定した企業改革のための法律である。SOX法では,上場企業の財務諸表の記載事項に関する経営者の責任を規定している。財務諸表を作成するプロセスにおいて内部統制が機能していることを経営者に確約させる404条がそれである。違反者に対しては刑事罰の適用もある。このため米国の上場企業は必死になって内部統制の整備を行なった。 SOX法の内部統制に関する規定では,企業にコンプライアンスを強く求めている。企業を取り巻く法律や規則は極めて多い。それらの一つにでも違反すれば,経営者は内部統制違反に問われることになる。もし,そうした法律の中にBCPの策定を規定している規則があり,その規則に違反していれば,結果的にSOX法の内部統制違反になってしまう。 現状,会計事務所の監査業務の品質を監視する米PCAOB(Public Company Accounting Oversight Board:公開企業会計監視委員会)の公式見解では,「BCPの策定は義務ではない」としている。しかし,実務家の見方は異なる。SOX法に関係するさまざまな規制などには,BCP策定の必要性が盛り込まれている。それを見落とすと内部統制が機能していないとみなされ,刑事罰が課せられる恐れがあるとみている。 事業継続計画を義務付ける法令や基準が増加 米国では,テロによってワールド・トレード・センターが破壊された9.11以降,BCPに関する法律や規則が急増した。2004年までに制定された法律は30を越える。例えばニューヨーク証券取引所は「NYSE Rule 446」の中で,BCPの策定と1年ごとのレビューを求めている。その他,医療関係の個人情報保護規定である「HIPPA (Health Insurance Portability and Accountability Act),医薬・食品を規定する「FDA(Food and Drug Administration)規則」,政府の災害対策規定である「FISMA (Federal Information Security Management Act)」,エネルギーを規定する「FERC (Federal Energy Regulatory Commission)」,電気供給に関わる「NERC( North American Electric Reliability Council)」,通信法などさまざまな法律や規則で部分的に,あるいは全面的にBCPの策定が求められている。また,国際決済銀行の規定を議論している「バーゼルII」では,オペレーショナル・リスクに見合う準備金の導入が盛り込まれる予定であり,銀行はBCPやディザスター・リカバリー計画の立案と実施を迫られることになる。 これらの規則の中には,法令ではなく業界標準としてBCPを確立しようとする動きもある。米FRB(Federal Reserve Bank)などの機関が共同で提案した,通称「BCP Sound Practice」にもそうした考え方が含まれている。そのためすべての法令でBCP策定が求められているわけではない。しかし,BCPの策定が業界標準として定着していくにつれ,それが法令に変わらない保証はどこにもない。BCPの定着と法令化に常に注意を払う必要がある。 複雑な体系を持つSOX法に潜む怖さ SOX法は,財務諸表を作成するために必要なデータの入力・承認・記録・処理,あるいは財務諸表報告書に影響する,または将来影響を及ぼす可能性のある事柄に対する内部統制を求めている。そうした事柄が財務諸表やその作成過程に直接影響を与えない限り,BCPの策定を求められることはない。 ただし,すでに述べた法律や規則の中には財務諸表策定プロセスに関連する規定を持つものもあり,BCPの策定が義務となる可能性がある。例えば「FFIEC (Federal Financial Institutions Examination Council)」では,情報システムをアウトソースする場合「金融機関はサービス・プロバイダのBCPを評価・理解し,クリティカルなサービスが許容時間内に復旧することを確保しなければならない」という規則がある。その場合には,アウトソース先のBCPを確認していなければ内部統制が機能していないことになり,違反に問われる恐れがある。SOX法は非常に複雑な体系を持った法律であり,そこにSOX法の怖さが潜む。 地震国日本での認識 米国市場に上場している日本企業はSOX法の対象である。日本を代表する約40社が,来年度から日本企業など外国企業に適用されるSOX法対応の準備に,追い込みの状況にある。日本は地震国であり,地震のリスクが高いことは世界的に知られている。東海地震や南関東直下型地震の発生が近付いているというのが,専門家の共通の認識だ。その地域で事業展開をする日本企業が,地震により機能しなくなる恐れは高い。しかし,BCPに対する認識が,経営者に高いとは言いがたい。もし,地震災害により事業継続が不可能になり,株価暴落等が生じた際に,BCPが無ければこれらの企業の経営者は内部統制違反に問われかねない。このようにみると,BCPを海外での一過性のブームといって片付けられるものでは決してないことが分かろう。 株式会社インフォセックでは,事業継続計画策定支援サービスあるいは危機感計画策定支援サービスを行っています。
事業継続計画策定支援サービスの詳細はこちら | 【危機管理と事業継続の課題】ワーキング・グループIndexへ | |
|
||||||||
| HOME | 記事一覧へ | 三菱商事 情報セキュリティアライアンス | Copyright (c)2005-2007 TechnoAssociates, Inc. All Rights Reserved. |
||||||||||
