「新経営時代に求められるのは"発見的統制"ではなく"予防的統制"、つまり最初から不正が起こらないようにする環境が必要」と桜本氏は言う。

桜本氏による発見的統制と予防的統制の違い

ここでキーになるポイントは「統合」、すなわち情報やシステムの共有化(シェアード)だ。日本企業ではどうしても、部門ごと、あるいはグループごとで情報が分断されやすい。「わかる人にしかわからない」業務システムがあまりに多すぎるため、1つの情報を同じシステムで共有するという環境が整いにくい。

もうひとつ、Oracleが内部統制を実現するために重要なポイントとして挙げているのが「職務分掌(SOD: Segregation on Duties)」の管理だ。たとえば「請求書を入力する人と支払いをする人が同じであっては不正が起こりやすい。こういった職務は兼務されるべきではない」(桜本氏)、したがって職責を明確に定義し、アクセス制限を行えば、不正の下地を最初から排除することをできる。だが、これも「例外」を設けたがる日本企業は非常に多い。

「Finacial Consolidation Hub」「Internal Control Hub」など、Oracleにはいくつものコンプライアンス製品がある。だが、それらを駆使したとしても使う側の意識が従来のままでは、不正が起こる余地は残ったままではないのだろうか。

桜本氏に上記の疑問をぶつけてみた。「Oracleのソリューションは、ルールを厳しく定義することも、また例外を設けることも可能だが、グローバルスタンダードに照らし合わせても、また、コストや効率化の面でも、例外はできるだけ設けないほうがいい。そのためにも"シェアード"を浸透させることが重要になってくる。不正が起こりようがない環境を整え、それを監査人に証明する、それが内部統制実現に必要なことなのだから」。もうひとつ、内部統制実現を阻むものとして「記録の文書化」が挙げられる。改善した点を文書に記録・保存し、体系化する。これを手作業でやれば膨大なコストがかかるが、「そういった面で自動化を促し、内部統制を支援するのがIT」(桜本氏)。そのためにもやはり共通の文書フォーマット・データ形式など、「シェアード」な状態が求められてくる。

一方で桜本氏は、日本と米国における最も大きな監査方法の違いとして「米国の場合は、敵対的な監査がなされる。企業がどんなに完璧に整えた報告書を提出しても、監査人は最初からあら探しを行っているような節がある。これに対し日本では、監査人と経営者が最初から協議をしてよいことになっている。"すべての組織に適合するものを一律に示すことはできない"という考え方からだ。経営者はビジネスルールを自分で作り、評価し、報告する、監査人はそれを監査し、改善すべき点を指摘する。「はじめに"全社的な内部統制"ありき」－つまり、経営者による実質的判断を重視しているのが特徴」と語る。

統一されていないシステムが分散し、例外が横行し、共有されるべき情報が共有されない環境では、その無駄の分だけ確実にコストが生じている。内部統制は業務をがんじがらめにするものではなく、不正を予防し、不要なコストを削減する大きな推進力となるはずだ。経営の透明化はその企業だけでなく、社会全体にとっても望ましい。日本版SOX法が施行されるまでに、どれだけの企業が「見える化」を果たしているのだろうか。