米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」 - (page 4)

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年06月14日 22時45分

  • このエントリーをはてなブックマークに追加
  • 印刷

フェーズIV:コントロールデザインと実行効果の評価
 ITリスクを容認できるレベルまで下げるようコントロールを設計する(例:最終受入承認前のアプリケーションが本番環境に移行しないようにするなど)。コントロールの方法には、「事前防止(preventive)」、「検知(detective)」、「自動(automated)」、そして「手作業(manual)」などがある。

 コントロールデザインの評価後、内部統制管理チームのメンバーがコントロールとその効果をテストする。そして、テストの結果と実行効果を文書化し、後に外部監査員が再度実行し、監査を行う。

フェーズV:欠陥を測定・修正
 SOX法は、「重大な弱点(material weakness)」を財務報告書に開示することを義務付けている。公開企業の監査を行う会計事務所を監督する公開企業会計監視委員会(PCAOB:Public Company Accounting Oversight Board)は全般統制が(最も深刻な事態と位置づけられている)「重大な弱点」となりうるような状況を以下のように指摘している(しかし、全般統制の欠陥があってもそれが業務処理統制の欠陥を招かない場合は「コントロールの欠陥」と判断される)。

  • アプリケーションレベルの欠陥:全般統制の欠陥に関する重大さは、業務処理統制の効果との関係で評価される。アプリケーションの欠陥が全般統制に起因する場合(税金テーブルの変更管理が適切に行われておらず、アプリケーションが扱う税金計算を誤算した場合など)「重大な弱点」と判断される
  • コントロール環境の欠陥:マネジメントが全般統制の欠陥を修正しないという決定を行い、それが他のコントロールの欠陥とも組み合わさり、コントロール環境に影響を及ぼした場合、「重大な欠陥」あるいは「重大な弱点」と判断される可能性がある
  • 欠陥を一定期間内に修正不能:全般統制が「重大な欠陥」と判断されたにも関わらず、適切な期間内に修正しない場合は、「重大な弱点」となる可能性がある

 欠陥に関しては以下の2つのタイプがある。

  1. デザインの欠陥:コントロールの欠如、不適切なコントロール、文書の不足、コントロールデザインに見られる支障
  2. コントロール実行効果の欠陥:一貫性に欠けるコントロール

 コントロールの欠陥は修正されなくてはいけないが、修正には通常時間がかかる。企業は短期的なソリューションが必要であるが、コスト効果のよい、信頼性の高い、長期的ソリューションも検討する必要がある。

フェーズVI:継続性
 IT部門は効果的な内部統制、コントロール評価と管理を長期的に維持できる組織と文化を持つ必要がある。すなわち、継続的、定期的にコントロールのレビューを行い、不適切なコントロールは排除していく。更にマニュアルコントロールをできる限り自動コントロールに移行していく。

外部委託したプロセスはどうなる

 企業はさまざまな業務やプロセス、システムの機能をアウトソース(外部委託)しているが、外部委託したものもSOX法対応の対象となる。PCAOBの監査基準第2号では、企業が外部委託をしている業務やプロセス、機能のコントロールについて、以下のように明記している。

サービス提供会社の利用は財務報告にかかる効果的な内部統制を維持する経営者の責任を軽減するものではない。経営者は、財務報告にかかる内部統制の評価を行う際に、サービス提供会社のコントロールあるいは関連コントロールを評価する必要がある。

 SOX法は企業が外部委託した業務やプロセス、機能にも、財務報告にまつわる内部統制を適用している。外部委託には、以下のものが含まれる。

  • 企業の財務報告の信頼性に影響を与えるような機能を扱うBPO(ビジネス・プロセス・アウトソーシング)
  • ITコントロールの対象となるデータ処理やデータセンタなど企業のテクノロジインフラストラクチャに代表されるITO(インフォメーション・テクノロジー・アウトソーシング)

 SOX法対応に関して標準ガイドラインがないのと同様に、外部委託された業務やプロセス、機能に関しても対応するガイドラインがあるわけではない。調査会社のMeta Groupによれば、企業がSOX法対応を始めた頃、約25%の企業が外部委託した業務やプロセス、機能はあえてSOX法対応の対象とはしていなかった。

 しかし、連邦規制当局は、企業の内部統制導入の対象となっている財務報告に関連している外部委託したものについて、米国公認会計士協会(AICPA:American Institute of Certified Public Accountants)が発行する「監査基準第70号(Statement on Auditing Standards No.70)――委託業務に係る内部統制の有効性評価」(“SAS 70”)をガイダンスとして使うよう指示している。

 外部委託は企業の規制対応の能力に大きな影響を与える。2005年、ケンタッキーダービーの興行主であるChurchill Downsは、同社が契約をしているトランザクション処理サービスベンダーからSAS 70 Type IIレポートを入手できなかったため、それを「重大な弱点」として開示すると同時に、サービス提供会社の交代も含む問題の修正策を示すことになった。

 この例からもわかる通り、BPO、ITOに限らず、業務やプロセス、機能を外部委託しても、企業はSOX法が課す義務から逃れることはできず、外部委託を受託する業者の行動に責任を負うことになる。

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連記事

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]