日本版SOX法対応への準備アプローチ
対応に向けた準備における要点
多くの企業で日本版SOX法への対応準備のためのプロジェクトが立ち上がりつつある。しかし、企業の内部統制の強化というテーマは非常に広範で深遠 であるがゆえに、これには多くの部門や関係者を巻き込んだ取り組みが必要となる。そこで今回は、日本版SOX法への対応を視野に入れた準備プロジェクトの 全体像のなかで、IT部門が果たすべき役割と実行のアプローチについて述べる。
まず日本版SOX法が施行された際に、経営者が作成することになる内部統制報告書および外部の監査人が作成する内部統制監査報告書においてポイント となる点を整理しておこう。現時点においては、日本版SOX法の最終案や内部統制監査における実施内容の詳細が公表されていないが、これまでに行われた ITに関わる内部統制監査などにおいて監査人から指摘された事項や、監査法人が参考とするチェックリストなどから対応の要点が見えてくる。
ITに関わる内部統制については、下記6つが要点となると考えられる(表1)。
| 職務及び役割分担の明確化 | 業務が正規の担当者によって実行されているか |
|---|---|
| 実行者と承認・監視・監査者が明確に区分されているか | |
| 業務の手順化・標準化 | 属人性が排除されているか |
| 誤入力や恣意的な操作が入り込む余地がないか | |
| 業務の文書化 | 役割、手順及びルールが規定・ガイドラインなどに記載されているか |
| 文書が最新かつ実態を反映した状態に維持されているか | |
| 業務の監視及び定期的評価 | 当事者以外が二重にチェックするプロセスが組み込まれているか |
| システムなどにより自動的に警告するような仕組みが組み込まれているか | |
| 業務と独立して年に一度など、棚卸し・調査するようなプロセスが存在するか | |
| 情報の網羅性及び一元管理 | 把握すべき情報の所在が明らかで漏れなく管理されているか |
| 統制が必要な対象の情報が一元的に把握できるようになっているか | |
| 追跡及び証左の提示 | 事後に問題を追跡したり、証拠を提示できるように記録及び履歴が保持されているか |
| 証拠の信憑性が保証される状態で保持されているか |
出典:ITR
これら6つの要点は、全般統制および業務処理統制の両方に対応するものである。
例えば、全般統制における職務および役割分担の明確化では、開発担当者とテストを承認する担当者、システム構築のベンダー選定を行う担当者と価格交 渉や契約を行う担当者がそれぞれ明確に分かれているかといった点が問われる。一方、業務処理統制における職務および役割分担の明確化では、販売、在庫、経 理などの業務における職務および役割分担に着目することとなる。
このように、これら6つの要点について、IT関連業務と財務を含む事業部門の関連業務のそれぞれに対応付けて考えればよい。
また、これら以外にシステム的な観点から、アクセス権限およびユーザーの管理も重要な対応の要点として付け加えられる。財務会計システムやそれに対 してデータを引き渡している重要な業務システム、あるいは情報システム全体において、「異動・退職になった社員のIDを適切に変更・削除しているか」「特 権ユーザーが正しく管理されているか」「不正なアクセスや改竄が行われた際に、発見できるようになっているか」といった点が指摘のポイントとなろう。
