Sarbanes-Oxley は、米国史上もっとも広範囲に影響を及ぼす財務関連の規制法です。本法律では、企業の財務報告の正確性や信頼性に関してCEO やCFO 個人に責任を問います。また、全ての過失に関しては企業の役員が責任を問われます。
今後企業の役員は、財務報告と関連する内部統制のプロセス及び管理規定の策定、導入、監査の責任を問われます。現在、これらの業務はほとんどIT 部門が担当しています。
Sarbanes-Oxley では、上記の内容を404 条に19 行にわたって明文化しています。この19 行は2000 年問題以来、IT 業界に大きな波紋を呼んでいます。404 条が与える大きな影響として、もはやシステム管理者のみがIT を管理すれば良いということでは無くなったことが挙げられます。
Sarbanes-Oxley では、IT 内部統制の有効性や正確性を評価するためにIT インフラを細部まで調査します。もう一つ重要なポイントがあります。Sarbanes-Oxley では監査の基準を満たすための内部統制の必要条件をあえて明言していません。
本ドキュメントでは、Sarbanes-Oxley の概要とIT 内部統制に的を絞って説明しています。お客様とのやり取りを通して積んだ経験や研究をもとに、IT 内部統制を行うためのプロセス及び管理規定の策定、導入、ドキュメント化に関するガイドラインの作成に取り組んでいます。
本ドキュメントは、Sarbanes-Oxley に準拠するための特効薬になるとは考えていません。IT 管理者が内部統制の仕組みを作り上げるための雛型をいくつかご提供することを目的としています。
ホワイトペーパー