米国のSOX法対応に学ぶ、日本の業務慣習は否定？：Oracle OpenWorld San Francisco 2006 Report（1/2 ページ）

10月下旬、「Oracle OpenWorld 2006」開催中のサンフランシスコで、日本オラクルは「ジャパンセッション」を開催、顧客企業の幹部らを招き、セキュリティや内部統制のソリューションを紹介した。

[谷川耕一，ITmedia]

　10月下旬、カリフォルニア州サンフランシスコは、4万1000人が参加した過去最大の「Oracle OpenWorld San Francisco 2006」によって大いに賑わった。この会期中、年末商戦に向けて華やぐユニオンスクエアに面したウェスティン・セントフランシス・ホテルで日本オラクルは「ジャパンセッション」を開催、顧客企業の幹部らを招き、セキュリティや内部統制のソリューションを紹介している。

　ジャパンセッションには、同社が過去、米国視察ツアーを実施した際、評価の高かった内容も盛り込んでいるという。KPMGで19年間の業務キャリアを持つシャヒード・ラティフ氏のセッションもそのひとつだ。ラティフ氏は、日立製作所のリードパートナーとして米国SOX法対応に携わっており、米国におけるSOX法対応の現状、企業のコンプライアンスへの取り組みといった、ここ3、4年のトレンドについて講演を行っている。

KPMGのシャヒード・ラティフ氏

SOX法対応は範囲の決定から

　SOX法対応は、「エンティティレベル」「プロセスレベル」「アプリケーション」「IT一般」という4つの領域のコントロールが要求される。エンティティレベルは、過去最もスキャンダルの多いところで、企業のトップがかかわる根本的な企業運営ルールという重要な部分だ。プロセスレベルは人事などのいわゆる業務プロセスのコントロール部分でありSOX法対応の6割を占めているという。

　企業のIT部門が担うべきコントロール領域は、アプリケーションのコントロールとIT一般だ。ERPなどのアプリケーションやインフラとなるデータセンターの運用がきちんとなされているかどうかということになる。

　「IT部門で対応すべきことは、なんらSOX法への対応前と変わるものではない。今までどおり、きちんとシステムやアプリケーションが運用されていれば通常は問題ない。ただし、手順がドキュメント化されていなかったり、しっかりと記録が残されていない場合には、それらの対応をしなければならない」とラティフ氏。

　米国と日本のSOX法対応には、それほど大きな違いはないとラティフ氏は話す。現状で分かっている米国と日本の唯一の違いは、外部監査人のかかわり方であり、日本では監査人が自ら意見を提出する必要がないという点だけという。

　ITの対応としては、米国企業の95％で採用しているCOSO（the Committee of Sponsoring Organization of the Treadway Commission：トレッドウェイ委員会組織委員会）の内部統制フレームワークに準じたものを採用することになる。ただし、SOX法の対応の直接的な目的は、あくまでも財務レポートの安全性、信頼性を確保するものだ。ラティフ氏は、企業すべての内部統制やコンプライアンスを実現しようとするものではない、とも指摘する。

　そこで重要になってくるSOX法対応の第一歩は、コンプライアンスのスコープを決めることだ。ラティフ氏によれば、多くの日本企業ではコンサバティブになりがちで、スコープにすべてを盛り込もうとする傾向があるという。

　適切な範囲にスコープを絞り込み、その結果で対象となるアプリケーションが決まってくる。スコープを誤って大きく取りすぎると、それだけコストも時間もかさむことになる。