米国でSOX法が施行された3年前には、あれもこれもスコープに盛り込み、対応コストが莫大なものに膨れあがったが、その後は減少傾向にあるという。ラティフ氏によれば、今年は30%くらいのコスト削減されるだろうという。
「米国ではSOX法対応のコストが下がっている。日本の企業は、そうした結果を踏まえてスタートすればいい。米国でSOX法対応の経験がある人を採用するのも1つの手だ」とラティフ氏。
そんな中で、SOX法対応のITの仕組みで最も重要となってきているのが、ID管理だという。IDの管理は、どんどん自動化の方向に向かっていて、ラティフ氏は、そのためにはERPなどのアプリケーションの十分な活用も勧めている。
また、ラティフ氏からは、日本のビジネス慣習を否定するような話も飛び出した。
「何でも承認の際にハンコを押すというのは、承認というプロセスを行ってはいても、行っていないのと同じ。これでは、内部統制のための証拠にはならない」(ラティフ氏)
承認プロセスがきちんと文書化され、記録としてきちんと残っているかが重要だ。もう1つ日本ではなかなか理解されないことだが、「職務の切り分け」の重要性をラティフ氏は指摘する。
例えば、請求書を作る人と請求書の支払い処理をする人を分けなければならない。この両者を分離しなければ、自分で請求書を作り、その請求に対し自分で支払い処理できる可能性がある。
「これを理解してもらうのに、日本では多くの時間が必要になる」とラティフ氏。
Copyright © ITmedia, Inc. All Rights Reserved.