フェーズI:計画立案と対応範囲の決定
ITのSOX法対応第一歩は、ステアリングコミッティの一部であるITコントロールサブコミッティの設定から始まる。サブコミッティは、ITのSOX法対応プロセスを監督し、SOX法対応プロセス全体にITの対応を統合、そして、ステアリングコミッティとの意思疎通を図る。そして、リーダーにはプロジェクト実行に必要な権限が与えられると同時に、説明責任も課せられる。
IT対応計画の策定に当たっては、まず、対応すべき主要アプリケーションとそれをサポートするシステムを判明する。
それを基にプロジェクト計画を策定し、財務のSOX法対応チームと調整を図る。プロジェクト計画は最終的には財務とITの対応を統合したものとなり、経営者をはじめとするステークホルダー全員の承認を得る必要がある。
ITコントロールにおける最大の困難は、「アプリケーションコントロール(業務処理統制)に誰が責任を持つのか?」ということである。ITGIが策定した「ITのSOX法対応ロードマップ」には、「ビジネスオーナーは特定のビジネスプロセスの業務処理統制に責任を持ち、IT部門はプロセス所有者がコントロールをテスト・導入することを支援し、全般統制(アクセス制限、変更管理、バックアップなど)が確実に導入され、信頼できるものであることを保障する」と記述されている。
フェーズII:リスク評価
アプリケーションやそれをサポートするシステム(データベース、OS、ネットワーク、物理的環境)にリスクを管理するために必要なコントロールを導入する。リスク評価でしばしば検討される要素には次のようなものがある。
- 過去の経験
- トランザクション量(ワークロード)
- システムの特徴(高度・複雑/単純)
- スタッフの技量(有経験者/未経験者)
- プロセスの形態(集中/分散)
リスク評価に基づき、ITコントロールチームは対応アプリケーションとサポートするシステムを更新し、プロジェクトの範囲を再調整し、同時にSOX法対応計画全体も更新する。
フェーズIII:コントロールを文書化
財務報告書の信頼性を脅かすリスクを抑制するために、コントロールを文書化する。コントロールには以下の2つのタイプがある。
- 自動コントロール:コンピュータによるコントロール(例:自動発注システムに見られる、発注額の制限)
- マニュアル(ハイブリッド)コントロール:ITを使用しているものの、基本的には手作業によるコントロール(例:コンピュータによる在庫と現物を数えての在庫を照合)
【参考】 業務処理統制と全般統制の関係
業務処理統制の信頼性を確保するためには「全般統制」が必要である。SOX法が施行された背景には、財務報告書の改ざんがある。こうした詐欺行為は、次のような方法で防ぐことができ、そこではITが重要な役割を果たす。
- アプリケーションにより役割を分離:アプリケーションにアクセスできるユーザーの権限を定義し、トランザクション処理実行者と承認者の分離をシステムレベルで実行する
- アクセスコントロール:機密性の高い情報へのアクセスをシステム的に制限する。財務報告書作成チームは情報変更のアクセスを持てない
コントロールの文書化について特定のフォーマットが指定されているわけではないが、ITGIは、コントロールの文書化について表3のように示唆している。
文書化のレベル | 内容 |
---|---|
企業レベル |
|
活動レベル |
|
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。