日本版SOX法の対象企業の多くは、現在では文書化作業を終えて整備・運用状況の評価を行いつつあるところだ。しかし、この評価作業で問題が続出しているという。何が問題となっており、どう対処すればいいのか?
2008年4月から日本版SOX法の適用がスタートし、対象企業は内部統制の準備段階から運用段階へと入った。それに伴い、企業は内部統制の「整備状況の評価」に加えて、「運用状況の評価」も求められるようになった。しかし、そうした評価の計画・実行に当たり、多くの現場で混乱が生じているようだ。
「何を評価すればいいのか?」「どのように評価するのか?」「評価した結果、是正が必要になったらどうすればいいのか?」などなど……。現場の内部統制担当者は、多くの課題に頭を悩ませている。
2008年9月25日、@IT情報マネジメント編集部主催で開催されたイベント「日本版SOX法対策ミーティング」の特別講演に登壇したaiリスクコンサルテーション代表 鈴木英夫氏は、「内部統制の“評価”こそが、日本版SOX法が定める義務である」と言い切る。そして、その評価の対象と手法をしっかり理解することが内部統制対応では最も重要だという。
本稿では、鈴木氏がイベント当日の講演で内部統制の豊富なコンサルティング経験を踏まえて解説した数々の「“評価”と“是正”のノウハウ」をお伝えする。
提供:NRIセキュアテクノロジーズ株式会社
アイティメディア営業企画/制作:TechTarget編集部
ITmediaはアイティメディア株式会社の登録商標です。
