SOX監査基準が改訂へ――IT部門の苦労が軽減する見込み

米国で監査基準を緩和する新たなガイドラインが策定された。このガイドラインは企業のIT部門を救うのだろうか。

» 2007年05月28日 17時06分 公開
[Brian Prince,eWEEK]
eWEEK

 公開会社会計監視委員会(Public Company Accounting Oversight Board:PCAOB)は5月24日、監査基準第5号(AS 5)を可決した。これは、米証券取引委員会(SEC)が承認した新しいガイドラインを補足するものである。新ガイドラインは、株式公開企業に対するSOX法(Sarbanes-Oxley Act of 2002:米国企業改革法)の監査要件を緩和し、同法への準拠にかかる費用を軽減するのが狙いである。

 改訂実施はほぼ確実な見通しとなったが(AS 5はSECの承認を受ける必要がある)、不正防止を目指した歴史的な法規制の変更が企業社会の平均的なITスタッフの業務にどういった影響を与えるのかという疑問が残る。その答えは当然、会計処理に関する企業のポリシーや、コンプライアンスプロセスにおいてIT部門が果たしてきた役割によって異なる。

 PCAOBは、EnronやWorldComなどの不祥事を受けて制定されたSOX法に基づいて設立された非営利法人で、株式公開企業の監査人の監督を行う。同委員会の新基準では、外部監査人が企業の内部統制において最もリスクの高い分野に焦点を絞るとともに、内部監査人が既に実施した監査の結果の多くを利用することを認めている。

 AS 5では、従来基準で定められていた経営者自身の評価プロセスの分析に関する詳細な要件が削除された。内部統制監査において経営プロセスの適切性に関する意見書が必要とされないことも明記された。また新基準では、企業の規模や複雑性に応じて統制監査の内容を調整することも認められた。

 PCAOBのマーク・オルソン会長は、「SOX法の内部統制報告要件は、この数年、財務報告の信頼性と正確性が改善された最大の要因である。新基準はリスクベースで拡張性があり、投資家、公開企業および監査人のニーズによりよく合致するものである」と発表文で述べている。

 SunTrust Banksで財務報告リスク管理を担当するジョン・ホイーラー上級副社長によると、同社は2005年にPCAOBの非公式のガイダンスに基づき、新基準に沿った方向に進み始めた。同氏によると、ほかの大手企業も同様で、監査に対してリスクベースのアプローチで臨んでいるという。

 「当社のIT部門にとっては大きな変化ではなかった」とホイーラー氏は話す。

 SunTrustでは、マサチューセッツ州ウォルサムに本社を置くOpenPagesのソフトウェアを利用して、自社の各部門で実施している内部統制の分析と監視を行っている。2005年以前は、SunTrustでの内部監査には手作業による膨大な作業が必要とされ、どんな統制を実施しているのか把握できなかったという。

 Oversight Systemsのパトリック・テイラーCEOによると、ITスタッフにとっては、SOX法への準拠にかかわる手作業の部分がなくなることが、今回の変更に伴う最大の変化ではないかという。「例えば、会計記録の改ざんを防止する対策として、データベース管理者はトラブルチケットに応じてデータベースにログインし、発行されたトラブルチケットと対処内容の記録を保存するだけで済むかもしれない」。

 「AS 5がリスクベースのアプローチを採用したことで、企業はデータベースに対して実際に行われた操作だけを記録すれば十分であると判断し、不要な手続きを廃止する可能性もある」とテイラー氏は語る。

 「簡単に言えば、AS 5は企業が形式主義を排除する機会を与えるということだ」(同氏)

 ニューハンプシャー州ポーツマスに本社を置く変更/コンプライアンス報告ツールのプロバイダー、Ecora Softwareでチーフコンプライアンスアドバイザーを務めるジェームズ・セイレズ氏も同意見であり、この改訂で企業がSOX法に準拠しやすくなることが予想されるという。

 「これでITスタッフの負担が軽減される。難解な要件、不明瞭な記述、非現実的な監査要求などすべてが、現実に大きく引き戻された。企業はSOX法を順守するためにもっと努力するようになると予想される。この作業がそれほど面倒なことだと感じられなくなるからだ」とセイレズ氏は話す。

 しかしOpenPagesのマーケティング担当副社長、ブライアン・クリアリー氏によると、今回の改訂はSOX法の精神を変えるものではないという。

 「経費は間違いなく削減できるだろうが、PCAOBとSECが基本的な要件は削減しないという慎重な姿勢で臨んできたことに注意すべきだ。基本要件というのは、経営者が財務報告に関する内部統制を評価して結論を出し、監査人は意見書を提出しなければならないということだ」と同氏は指摘する。

 ジョージア州にあるケネソー州立大学で会計学を担当するオードリー・グラムリング準教授によると、ITスタッフはこれからも新基準の下で非常に重要な役割を果たすことになるという。企業がこれまで以上に多くの監査業務をIT部門にゆだねるようになるからだ。

 「統制の自動化が進むのに伴い、ITによる全般的統制を保証する上でITスタッフは非常に重要な役割を担うようになるだろう。これは必ずしもAS 5に伴う変化ではなく、今後もITが重視されることを意味するものだと考えている」とグラムリング氏は語る。

 PCOABの担当者によると、新基準はSECの承認後すぐに監査人に採用される可能性があり、11月15日以降を期末とする会計年度の内部統制監査すべてに適用される見込みだという。

関連キーワード

内部統制 | SOX法 | ワークフロー


Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.