監査人に聞くSOX法対応のチェックポイント：Interview

CIOはSOX法にどう備えればいいのだろうか。大手国際会計事務所グラン･ソーントンのSOX法の表記法専門家が監査人の立場から、CIOの陥りがちな誤りや注意点を語る。

[TechTarget]

　米国でのSOX法適用開始前夜、ほとんどの企業は取り組む体制ができていなかった。CIOは多くの場合、これは2000年問題のようなもので、1月1日のような節目を乗り切れば済むと考えていた。

　だが、SOX法対応はむしろ、毎日が節目のようなもので、ずっと続く課題なのだ。

　ここでは大手国際会計事務所グラン･ソーントンのSOX法専門家が、CIOの陥りがちな誤りや、監査人がIT部門の業務を評価する際のポイントはどこかなどを語る。

　サーベンス・オクスリー法（SOX法）への対応について、CIOからは心配や不安の声が上がっているが、IT業務の点検に当たる監査人はどのような考えでいるのだろうか。大手国際会計事務所グラン･ソーントンの経営助言サービス責任者で、SOX法の専門家であるローレンス・ベイエ氏が、CIOの陥りがちな誤りや、どんな状況が監査人のチェックの対象になるのかを語る。

――　CIOにとって、SOX法への対応で一番難しいのはどんなところですか。

ベイエ　CIOは遅い段階で大きな役割を振られました。SOX法への対応は、当初は財務会計プロジェクトだと思われていたのです。そしてCIOは多くの場合、これはY2K（2000年問題）への取り組みのようなもので、1月1日のような節目を乗り切れば、後は気にしないで済むだろうと考えました。しかしわたしが思うに、SOX法対応はむしろ、毎日がY2Kの節目のようなものです。これはずっと続く課題であり、ほとんどの企業は取り組む体制ができていません。一番厄介な問題は、「コンプライアンスの観点から、来年以降何をすべきか」を決めることです。

　また、一部の監査法人は、システムの導入時からの管理の証拠を要求しています。そうした文書はまず保存してありませんし、改めて用意するのはとても大変です。特に難しいのが、ITシステムがカスタマイズされていたり変更されている場合です。その内容の多くは個人の頭に残っているだけで、紙に記録されていませんから。IT部門では、証拠を紙の文書として残すことを徹底するという品質保証はあまり行われていません。これは優先課題としてはほとんど新しいものなのです。

　さらに、この法律の要件はあいまいで、監査法人や個々の監査人の解釈の余地があります。監査法人によって、要求する内容はまちまちです。裁量にゆだねられている部分が多いわけです。

――　CIOがやらなければならないことは何ですか。

ベイエ　プロジェクト管理の観点から自社の規模を踏まえて、導入されているシステムの品質と完全性を把握することだと思います。コンプライアンスは、多くの企業にとってほかのことより重要性が低く、予算も確保されていないかもしれませんし、2004年初めの時点では目標ではありませんでした。これは厄介事なのです。

　通常、SOX法を理解しなければならないのは、CFOと監査委員会です。しかし、組織文化という意味では、CIOも理解していることが必要です。CIOには提出書類の正確性を保証する法律上の義務はありませんが、わたしはCIOにも保証してほしいと思います。自分がかかわっていることに関する公的書類であれば、自分がそれにサインしていないのに同僚にサインしてほしいなどとは思わないはずです。大企業では既にそういう流れになっています。公の書類でCIOのサインを目にすることは決してありませんが、社内的には事前にその手続きを踏んでいるのです。それが説明責任というものです。

――　監査人として、IT部門の業務を評価する際に何に注目しますか。

ベイエ　IT管理の特に重要な要素は、物理セキュリティやアクセスセキュリティシステム、開発と変更、業務のバックアップに関連するものです。わたしはガバナンス、つまりIT機能がどのように管理されているかに注意します。システムが増え、事業所内でその運用管理に当たるスタッフが増えるほど、間違いが起こる可能性も高くなります。

　SOX法では高いハードルが設定されており、クリアするのは容易なことではありません。IT管理は隅々まで行き届いていなければならないと考えられています。管理が甘いと、財務のシステムとプロセスの完全性が損なわれてしまう恐れがあるからです。IT環境のすべてが健全に機能していることを証明するのは大変なことです。

　CIOは業務のバックアップや、ネットワークとデータベースのセキュリティなどについて監査人から否定的に評価されるのを恐れています。多額の買掛金があるとして、それが侵入可能なコンピュータで管理されているならば、経営陣は、侵入が発生しても被害を未然に防止する対策が講じられていることを証明しなければなりません。トラブルを素早く発見して解決できることを証明しなければならないのです。

――　どんな問題がチェックの対象になるのですか。

ベイエ　IT部門が内部の監督や統制、役割分担の実施を証明できる体制を整えているかどうかに注意します。そうは思えない場合や、指揮系統が不明確な場合は危険信号です。CIOにビジネスの視点が欠けていたり、技術一辺倒の人が年功だけでCIOまで昇進したといったケースでは、管理の仕事は彼らの手に余ります。

　また、多数のシステムが多くの場所に分散していて、それらが相互に連携していない場合、特にそれらが古いシステムの場合も問題です。ポリシーや手続きが明文化されていない、つまり業務の基準となる文書や体系的なルールがないのも、やはり問題です。

　われわれは監査の際に、こうした点をチェックします。現状がうまくいっていなければ、厳しいことも言います。財務部門やIT部門がこれらの問題に無関心では、SOX法対応はおぼつかなくなってしまいますから。

――　IT部門がSOX法対応という点で陥りがちな誤りは何ですか。

ベイエ　総勘定元帳システムに必要以上に多くの人がアクセスして、レコードを変更できるようにしている企業が見受けられます。また、契約業者などのサードパーティに、コンピュータへの物理的なアクセスを認め過ぎているケースもあります。コンピュータがある場所には、社外の人をあまり多く入れないようにしなければなりません。さらに、バックアップ設備があるのに使っていない企業もあります。

――　11月15日（訳注：米国SEC登録企業は2004年11月15日以降に終了する事業年度からSOX法の適用が開始された）が目前に迫っていますが、この期限を守れないCIOに助言はありますか。

ベイエ　わたしの知っているある会社は、準備することが非常に多いため、業務のかなりの部分で対応できないと予想されます。彼らは文書化やテストなど、たくさんのことを同時に進めています。莫大な資金を投入したあげく、期限までに何も成果が出ないということもあり得ます。

　わたしとしては、来年以降を見据えて、管理の仕組みがしっかりと機能するように、部分的にでもテストを徹底することをお勧めします。「うまくいっている部分とそうでない部分があるけれども、具体的には把握していない」といったスタンスはいただけません。どちらの場合にしても、対応は不十分です。しかし、ガバナンスが不十分だという話になってはいけないのです。経営陣が管理責任をおろそかにしていた、などと思われてしまうようなことをしてはなりません。何事につけても信頼に傷がついてしまいます。

――　幾らかでも対応しておく方が、何も対応していないよりはいいということですね。

ベイエ　そのとおりです。新しい、または改善された検証可能な管理体制の整備を、期限までに完了する企業はどれだけあるでしょう。コメントは控えておきます。あちこちで予測が出されていますが、本当のところは誰にも分かりません。

――　多くのCIOが、SOX法対応は前例のない取り組みなので、何をすべきかまだ分からないと言っています。これはもっともな言い分ですか。

ベイエ　別の見方をすれば、Y2Kもみんな初めての経験だったけれども、乗り切れたということも言えるわけです。ただ、Y2Kは完全にITの問題でした。SOX法対応は、会計上の課題だと考えられていました。この冬、わたしは大企業のCIOたちに、SOX法対応と彼らのかかわりについての講演をしました。大勢の人がピンとこない顔をしてましたね。SOX法対応の計画立案に参加していて、IT部門側でなすべきことが分かっている人に挙手を求めたところ、約100人中たった1人だけでした。あれはショックでした。

（この記事は2004年11月10日に掲載されたものを翻訳しました。）