SOX 法対応のガイドライン
日本版 SOX 法への対応は一過性のものではありません。継続的に行い、監査を受け、その結果を常に把握しながら適切に対処する必要があります。これは多くの企業にとって義務であり、だからこそ確実な運用と成果を実現するための取り組みが欠かせないのです。
SOX 法対応の実施や監査にあたっては、基準となるフレームワークやガイドラインが設けられています。代表的なのは COSO や COBIT ですが、ほかにも対象範囲や目的に応じたものがいくつかあります。それらの相互関係を把握しておくことも、SOX 法対応を進める際のポイントでしょう。
- COSO(the Committee of Sponsoring Organization of the Treadway Commission)
コーポレートガバナンス、効果的な内部統制、ビジネス倫理を通じて財務報告の品質の向上を行う米国のトレッドウェイ委員会組織委員会が定めたフレームワーク。金融商品取引法(日本版 SOX 法)における内部統制や、新会社法の定める内部統制の元となっている。
- COBIT(Control Objectives for Information and related Technology)
IT ガバナンスの成熟度を測るフレームワーク。調達・開発からセキュリティ対策、日々の運用など、IT 全般に関する取り組み、プロセスの組織としての成熟度が判定される。
- ITIL(IT Infrastructure Library)
コンピュータシステムの運用・管理業務に関する体系的なガイドライン。ベストプラクティス集となっており、実際の運用業務において不可欠なプロセスを定義している。
- ISMS(Information Security Management System)
企業が情報を扱う際の基本的な方針や、具体的な計画、計画の実施・運用、一定期間ごとの方針・計画の見直しまで含めた、トータルなリスクマネジメント体系。
- EA(Enterprise・Architecture)
企業全体の業務手順や情報システムの標準化、組織の最適化を進め、効率よい組織の運営を図るための方法論および設計思想。
各フレームワーク/ガイドラインの適用分野と相互関係図
※ 画像をクリックすると、大きく表示されます。
各フレームワーク/ガイドラインの適用分野と相互関係図2
※ 画像をクリックすると、大きく表示されます。
ネットワークの可用性を確保する
一般に SOX 法対応というと、正確な財務諸表の作成や、業務プロセスの統制に注目が集まりがちです。しかし、それをさらに掘り下げていくと、業務アプリケーションを運用するネットワークや IT インフラを対象とする「IT 全般統制」の重要性がクローズアップされることになります。
企業の事業運営やサービス提供がネットワークを前提とした IT システムによって実現されている現在、その品質(可用性)を確保するのは当然のことです。SOX 法対応で実現すべき最終的な成果である財務諸表の作成や内部統制の可否を左右する基礎として、優れたネットワークを速やかに構築することが求められています。
ホワイトペーパー:企業のIT 統制から見たユーザ受け入れテスト(UAT)環境に関するガイドライン(PDF-591KB)
