米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年06月14日 22時45分

  • このエントリーをはてなブックマークに追加

 Sarbanes-Oxley法(SOX法)では、財務報告作成プロセスにかかる内部統制導入も目的としているが、財務報告書を作るための情報の多くがコンピュータシステムによりサポートされているため、財務報告作成プロセスをサポートするITインフラストラクチャもSOX法対応の対象となっている。今回は、ITのSOX法対応プロセスを中心に、SOX法がIT部門に与える影響について述べる。

ITに影響与えるSOX法条項

 SOX法は企業の財務報告の信頼性を高めることを目的とした大規模な法律であるが、中でも以下の4つの条項がITに影響を与えている。

302条
 本条項は経営者が財務管理に説明責任を負うことを決めているが、それにはITガバナンス、ベンダー管理、事業継続計画(BCP:Business Continuity Plan)などを含むIT管理全般も含まれる。IT部門は、自動化された財務プロセスに適切なコントロールが導入され、コンピュータが生成する財務報告が正確かつ完全なものであり、例外は迅速に認識、報告されることを証明しなくてはならない。調査会社のGartnerと雑誌「CIO Insight」が、最高情報責任者(CIO)を対象に行った共同調査では、44%の企業がSOX法対応の一環として、財務結果の信頼性をCIOに宣誓させている。

404条
 上場企業の経営者とその独立系監査法人は、内部統制に大きな欠陥を見つけた場合、それを年次財務報告書に含めることが要求されている。また監査法人も、財務報告書にある「経営者による内部統制の記述」が正しいことを宣誓する。404条は、企業経営者と監査法人に、ITコントロールを含めた内部統制が正しく行われていることを保証するよう求めたものである。

409条
 上場企業は、財務状況に大きな変化が生じた場合、迅速にあるがままの状況を開示しなければならない。例えば、システム故障によりサプライチェーンが中断し、企業の四半期財務報告が大きな影響を受けた場合などはそれを開示する義務がある。409条は、既存の財務システムがリアルタイム、あるいはほぼそれに近い状態で財務情報を提供できるかを企業が判断し、できない場合は、その機能を追加するか、データにアクセスするために何らかの措置を取ることを要求している。

802条
 本条項は、情報の改ざんの防止を求めており、IT部門は安全な情報保持とセキュリティを保証するポリシーを策定しなければならない。IT関連の課題としては、情報保持/保護/削除、オンラインストレージ、監査証跡、エンタープライズレポジトリ、システム統合などがあげられる。企業は、情報管理プログラムの品質と適格さ、情報管理ライフサイクルの適切さ、情報の監査証跡と、アクセスコントロールが導入されていることを証明する必要がある。

 ITに影響を与えるSOX法の条項とITのSOX法対応活動例は表1のようにまとめることができる。

表1
条文条文タイトル説明IT部門のSOX法対応活動例
302 財務報告に関する企業責任 経営者が財務報告にかかる内部統制、作成手順や内容が性格であることを宣誓する
  • アクセス並びにデータ修正プロセスの監査
  • 財務データを含むシステムの統合や厳格なデータ入力/承認プロセス
  • データの整合性や機密性の保護
404 経営者による内部統制の評価 内部統制の効果を毎年評価
  • アクセス制御
  • 承認・権限・監査
  • アイデンティティ管理
  • 安全なアーカイブ
  • 企業システムとの互換性
409 問題をリアルタイムで開示 投資家が誤解しないよう、企業の財務状況に大きな変化があった場合は、その変化を迅速に、その都度開示する
  • データのミラーリング
  • サービス拒否(DoS)攻撃からアプリケーションを保護
  • 承認されていない、アプリケーションの停止(シャットダウン)
  • 厳格なアクセスコントロール
  • データの適切な保持と必要事項の報告
802 文書の改ざんは刑事罰 正真正銘の修正されていない記録の保持
文書の改ざんは刑事罰遡及(そきゅう)の可能性もある
  • 安全なアーカイブ
  • アクセス制御とデータの修正
  • データの整合性や機密性の保護
  • データのミラーリング
  • バックアップ

 ここにあげたITのSOX法対応活動は、各特定条項に特化したものではなく、SOX法対応全体に適用できる。

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
運用管理

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]