連載 :
日本版SOX法に向けたIT内部統制日本版SOX法対応への準備アプローチ
2006年6月29日(木)
全社的なイニシアチブ
企業の取り組みを観察すると、日本版SOX法では財務報告の信頼性がもっとも重要かつ根源的な目的となることから、全社的なイニシアチブは財務部門 または経営企画部門が主導しているケースが多い。この領域では、まず監査法人やコンサルティング会社から情報を得て、業務の対象範囲や今後の進め方につい て検討される。
具体的には、対象となる業務に対して業務オーナーまたはプロセスオーナーを明確にし、彼らに対してリスクの洗出しや評価を依頼し、それをリスク・コントロール・マトリックス(RCM)として取りまとめることが最初の作業となる(図1)。
また特に財務報告の信頼性に影響をおよぼすプロセスを特定し、RCMによって洗い出されたリスクを照らし合わせて、特に優先度の高いプロセス、体 制、制度、システムなどについて対応策が検討されることとなる。役割分担、承認手続き、指示系統、監査・報告の実施などについては、社内規定や運営手順書 などに文書として記載されているかどうかが問われることが多いため、文書化の作業も企業にとって大きな負荷となろう。
図1:日本版SOX法対応に向けた準備のアプローチ
出典:ITR
(画像をクリックすると別ウィンドウに拡大図を表示します)
IT部門に求められるイニシアチブ
IT部門が日本版SOX法への準備において行わなければならない作業は以下の通りである。
- 全社的なイニシアチブからの要請への対応
-
- IT部門が業務オーナーとなる業務に関するリスクの評価
- 財務報告の信頼性に影響をおよぼすシステムの特定
- 財務関連のシステムの文書(仕様書、運用手順書など)の再整備
- 財務関連のプロセスの変更に伴うシステムの手直し
- IT部門独自のイニシアチブ
-
- 自社のIT運営管理の現状把握と問題点・改善策の検討
- IT運営(調達・開発・運用など)の手順の明確化および文書化
- IT運営の適正な実行を確保する監視・監査の実施
- 内部統制が効率的に運営されるためのシステム化
-
- セキュリティやアクセス権限の管理の強化
- 処理やデータ連携の自動化やチェック強化のためのシステム化
- 記録保持や証左書類検索のためのシステム化
- 内部統制基盤としてのITインフラ再整備
表2:IT部門が日本版SOX法への準備において行わなければならない作業
なお「内部統制が効率的に運営されるためのシステム化」については、1および2の事項で財務関連のシステムが対象となる場合は全社的なイニシアチブ からの要請への対応の一部として行われるであろう。4の一環として個別アプリケーションの変更ではなく、ミドルウェア環境の整備に組み込まれる場合もあ る。
Think ITメルマガ会員登録受付中
Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。
