米SOX法の実態：第3回「多岐にわたるIT部門の対応プロセスの複雑さ」

　Sarbanes-Oxley法（SOX法）では、財務報告作成プロセスにかかる内部統制導入も目的としているが、財務報告書を作るための情報の多くがコンピュータシステムによりサポートされているため、財務報告作成プロセスをサポートするITインフラストラクチャもSOX法対応の対象となっている。今回は、ITのSOX法対応プロセスを中心に、SOX法がIT部門に与える影響について述べる。

ITに影響与えるSOX法条項

　SOX法は企業の財務報告の信頼性を高めることを目的とした大規模な法律であるが、中でも以下の4つの条項がITに影響を与えている。

302条
　本条項は経営者が財務管理に説明責任を負うことを決めているが、それにはITガバナンス、ベンダー管理、事業継続計画（BCP：Business Continuity Plan）などを含むIT管理全般も含まれる。IT部門は、自動化された財務プロセスに適切なコントロールが導入され、コンピュータが生成する財務報告が正確かつ完全なものであり、例外は迅速に認識、報告されることを証明しなくてはならない。調査会社のGartnerと雑誌「CIO Insight」が、最高情報責任者（CIO）を対象に行った共同調査では、44％の企業がSOX法対応の一環として、財務結果の信頼性をCIOに宣誓させている。

404条
　上場企業の経営者とその独立系監査法人は、内部統制に大きな欠陥を見つけた場合、それを年次財務報告書に含めることが要求されている。また監査法人も、財務報告書にある「経営者による内部統制の記述」が正しいことを宣誓する。404条は、企業経営者と監査法人に、ITコントロールを含めた内部統制が正しく行われていることを保証するよう求めたものである。

409条
　上場企業は、財務状況に大きな変化が生じた場合、迅速にあるがままの状況を開示しなければならない。例えば、システム故障によりサプライチェーンが中断し、企業の四半期財務報告が大きな影響を受けた場合などはそれを開示する義務がある。409条は、既存の財務システムがリアルタイム、あるいはほぼそれに近い状態で財務情報を提供できるかを企業が判断し、できない場合は、その機能を追加するか、データにアクセスするために何らかの措置を取ることを要求している。

802条
　本条項は、情報の改ざんの防止を求めており、IT部門は安全な情報保持とセキュリティを保証するポリシーを策定しなければならない。IT関連の課題としては、情報保持／保護／削除、オンラインストレージ、監査証跡、エンタープライズレポジトリ、システム統合などがあげられる。企業は、情報管理プログラムの品質と適格さ、情報管理ライフサイクルの適切さ、情報の監査証跡と、アクセスコントロールが導入されていることを証明する必要がある。

　ITに影響を与えるSOX法の条項とITのSOX法対応活動例は表1のようにまとめることができる。

　ここにあげたITのSOX法対応活動は、各特定条項に特化したものではなく、SOX法対応全体に適用できる。