米国企業に学ぶ日本版SOXへの準備

日本オラクルは同社が行ったSOX法関連の視察ツアーに関する結果をレポートするプレス向けのブリーフィングを開催した。

[怒賀新也，ITmedia]

　日本オラクルは8月21日、同社が7月に行ったSOX法関連の視察ツアーに関する結果をレポートするプレス向けのブリーフィングを開催した。7月9日から16日に米ニューヨークとサンフランシスコを訪れた米SOX法現地視察ツアーには、日本から都市銀行、自動車、小売り、製造、ベンチャーなど同社の顧客企業と社員を含めて約40人が参加した。

　6月7日に「金融商品取引法案」として可決したことで、2009年3月期の実施が決まった日本版SOXに備え、日本企業が対応策を模索し始めている。

　米Oracleなどとともにツアーをコーディネートした、同社システム事業推進本部セキュリティ＆コンプライアンス担当ディレクターを務める西脇資哲氏は、米国企業がSOX法に対応する際に「SOX法のあいまいさ、コストが膨大になるという2点が共通の課題として挙げられた」と話す。

　レポートによると、SOX法のあいまいさをカバーするために、先進的な米国企業がとった主な施策の1つは、セキュリティ基盤の強化だったという。

　会計監査法人の米Ernst & Young（E&Y）は、SOX法に関連するITインフラの欠陥について具体的に、「保護されていないOS上で会計アプリケーションやポータルが動作している」「会計アプリケーションを支えているデータベースが保護されていない」「開発者が実システムにアクセスできてしまう」「アカウントの付与や削除のプロセスが不完全」「G/L（総勘定元帳）アプリケーション内での記帳期間が制限されていない」「プログラム、テーブル、インタフェースなどがセキュアでない」「手作業の業務のプロセスがない、あるいは文書化されていない」「システムに関連する文書と実際のプロセスの間に不整合がある」などを挙げている。これらはすべて、セキュリティの問題として置き換えられるという。

　米KPMGのパートナー、シャヘド・ラティフ氏も、米国SOX方に関連するIT統制について「100ほど設定されているコントロール（統制）のうち、4〜5割はアクセスことロールがかかわってくる」と話した。

　アクセスコントロールやアイデンティティ管理は、日本オラクルが企業の内部統制の取り組みの支援策として強化しており、KPMGの見解は同社のビジネスを支援する形となる。

　一方、一足先にSOX法対応を行ったユーザー企業の中で、ネガティブな意見として共通していたのが「どこから手をつけていいか分からない」「高コストになりがちである」「IT統制の方法に具体的な指針がない」など。

　ポジティブな意見としては、「受け身ではなく、常に経営メリットのある上位の監査／管理手法を模索できることにより、質を高めることができる」「経営者をはじめ、多くの部署の理解と協力を得て進めることができる」「コスト削減とリスク管理、コンプライアンスを一体化できること」などがあった。

　「ITの利用とは具体的に何を指すのか」というあいまいさは潜在するものの、日本を代表する企業が実際に日本版SOX法への対応をはかるべく、取り組みをはじめているのは確かだ。