SOXコンプライアンス:IT部門の役割は?

8月 12, 2018 セキュリティとコンプライアンス, MOVEit

アーサー・アンダーセンが絡んだエンロン社の粉飾決算事件やワールドコムの粉飾会計事件を覚えておいででしょうか?これらの企業はすべて破綻に追い込まれ、懲役刑を宣告された経営者もいます。投資された何十億ドルもの資産は藻屑と化しました。

セキュリティ強化と、この種の粉飾スキャンダルの再発を防ぐことを目指して、Sarbanes-Oxley Act(SOX)が制定され、2002年に発効しました。

財務報告への内部統制(internal control over financial reporting、ICFR)を強めて透明化することで粉飾などを排除できると考えられています。米国証券取引委員会(Securities and Exchange Commission、SEC)に登録している米国または海外の企業は、SOX法を遵守しなければなりません。そのような企業に金融サービスを提供している企業も同様です。CFO.com の調査によれば、回答があったSECに登録されている大企業の半数以上がSOXコンプライアンスのために年100万ドル以上を支出したとのことです。

では、SOXのどの部分がIT管理者に関わってくるのでしょうか?SECは、2007年にSOXコンプライアンスへのガイダンスを発行して、IT部門の責任を明確にしました。IT部門は、考えられる財務上のリスクを最小限に抑えるプロセスをサポートする役割を担います。SOXの中でIT部門に関連が深いセクションは、302、404、409、および802です。順に見ていきましょう。

セクション 302: 経営幹部への報告

SOXは、CEOとCFOが会社の財務諸表の正確性を保証することを要求しています。さらに、財務実績を証明してから90日以内にICFRを評価したことを証明する必要があります。

IT部門の役割は、SOXコンプライアンスのために、CEOとCFOに内部統制のリアルタイムレポートを提供することです。そのためには、テスト、証拠収集、修復作業の報告などのタスクを自動化する必要があります。レポートは、監査人にとっても経営幹部にとってもわかりやすく明瞭な言葉で書くことが大切です。

セクション 404: 正確な財務報告をサポートできるようコントロール

SOXは、すべての企業が、正確かつ透明な財務報告のための内部統制を実施すべきだと定めています。外部監査人は、企業が内部統制の文書化、テスト、管理をしっかりできているか毎年評価することになっています。

IT部門の役割は、財務情報の開始、承認、処理、および要約に関わる重要なITシステムとプロセスを特定することです。この資料には、通常、セキュリティ、アプリケーションテスト、ソフトウェア統合の検証、自動プロセステストが含まれます。財務データを正確に伝達し、資産アカウントに対して許可されていないアクセスがされないよう安全に保護する必要があります。

セクション 409: タイムリーな開示

合併や買収、破産、大手サプライヤの解散、深刻なデータ侵害などといった出来事は、企業の財政見通しを大きく変える可能性があります。SOX法は、公開企業の財務実績に影響を与える可能性のある情報をタイムリーに開示することを義務付けています。

IT部門の役割は、タイムリーな開示が必要な出来事が発生したとき、すぐに対応できるSOXコンプライアンス体制(警告メカニズムのあるソフトウェア導入など)を整えることで、これには株主および規制当局に会社の財務諸表の変更を迅速に通知するメカニズムのサポートも含まれます。

セクション 802: 確実な記録保持

中小企業は、帳簿管理のために、機密データを紙媒体と電子媒体の両方で保管しています。エンドユーザーのコンピュータ上のスプレッドシート、電子メールメッセージ、IM、金銭に関する議論の電話記録、金融取引 - 少なくとも5年間、これらのすべてを保存し、監査人がアクセスできるようにする必要があります。

SOXコンプライアンスのためのIT部門の役割は、自動化された内部のバックアッププロセスでこれらのレコードを保存し、文書管理システム(電子メールおよび関連する統合コミュニケーションコンテンツのアーカイブを含む場合と含まない場合あり)が適切に機能するようにすることです。IT管理者は、旧式のテープベースのシステムからクラウドバックアップなどの新しいテクノロジーに移行する際にも、レコードがアクセス可能なようにコントロールすることも求められます。

スムーズな監査へのサポート

ユニファイド・コンプライアンス・フレームワーク(UCF)は、SOX、HIPAA、PCI DSSなどの厳格な規制の要件と、連邦法および州法の要件を集約しています。IT部門は、UCFを参考にして複数の規制要件を満たすようにコントロールすることができます。

UCFは、Network Frontiers が管理し、最新状態に更新しているので、これを参照することで効率的なコンプライアンスが可能になります。Intreis の共同設立者でIBMの Software Group - Business Analytics の元CIO、Ron Markham 氏は、UCFを使用してIBMの監査時間を2週間に短縮し、監査関連のコストを80%削減しました。

Markham 氏は、「一度のテストで、多くの要件をクリア」と氏が命名したこのアプローチに加えて、ワークフローを自動化する統一プラットフォームを推奨しています。ソリューションは、設定管理データベース(CMDB)を統合し、ITの記録システムとして機能する必要があります。

プロセスを、管理者と外部監査者の両方が監査しやすい方法で文書化し、パッケージ化することで、事前監査の狂騒的な混乱を防ぐことができます。また、最も貴重なリソースである時間と費用を節約できます。

COSO フレームワーク

同様に、トレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of the Treadway Commission、COSO)のフレームワークの5つのコンポーネントは、効果的な内部統制システムを構築するのに有用です。この5つのコンポーネントは、「コントロールのための、方向性のはっきりしたリーダーシップ、共有された価値観、アカウンタビリティを重視する文化」を通して、内部統制のための基盤を創出するのに役立ちます。COSOはまた、会社のあらゆるレベルでひんぱんにリスクをチェックするリスクベースのアプローチを提唱しています。

COBIT フレームワーク

効果的な内部統制システムのもう1つのツールは、SOXなどの内部統制要件へのコンプライアンス、技術的問題、ビジネスリスクの認識を組み合わせたCOBIT フレームワークです。COBITは、IT部門が構築したシステムの価値を高め、組織全体に対するITガバナンスの実現をスムーズに行うのに役立ちます。

SOXコンプライアンス徹底と会社の会計処理における見落とし防止のためには、IT部門で文書化やパッケージ化を行って監査プロセスをシンプルにし、リスクを最小限に抑えるシステムのサポートをすることが不可欠です。

Jacqueline Lee