[2005年10月11日]
『米国におけるSOX法対応事情』
【ROI(投資効率)のないSOX法対策】
米国では2005年度はSOX法対策が完了する初年度であるが、莫大な投資をした多くの企業では、経費の大半の回収が見込めないとの報告が上がっている。
50万ドルのIT予算のほとんどをコンプライアンス関係に投じたある企業のCIOは、「この投資には大きな回収が見込めるとは思わない。収益をあげるよう努力しているが、ROIが出るかは定かではない」。またある監査法人は、「企業はSOX法対応のために、本来投資すべき金額の5倍の投資をしたと思われる。今後は対応後の後片付けをしていく必要がある」とコメントしている。
しかし、コンサルタントからは「プロセスの見直しにつながった」という報告もある。「4大監査法人に依頼し、内部の業務プロセスに焦点を当てた対策をした企業は失敗しているが、Re-engineeringプロジェクトとして業務改善に取り組んだところは投資回収されているだろう。例えばその効果は、システムダウンの時間が減った、質問への回答が早くなった、ヘルプデスクの回答内容がよくなった」というものである。
また、「ある企業では、50個所ものセキュリティ・チェック・ポイントを設定していたが、Identity and Access Managementシステム(アクセス管理システム)を置くことで、それを一つにまとめることができた」と言うコメントもある。
〜eWEEK August 8, 2005 抜粋〜
米国では、SOX法施行後も有効な内部統制を実施しながら、その内部統制を評価する時間と関連コストの削減が必要と言われています。また、SOX法適用対象外の企業においても、ベストプラクティスの実践をアピールしたり、取引先などに経営の透明性を強調する目的で、監査法人からの証明を取る傾向が見受けられます。
今年、7月に日本版SOX法といわれる「財務報告に係る内部統制の評価及び監査の基準(公開草案)」が金融庁から発表されました。2008年3月期に導入が予定されていますが、米国の厳しい評価内容を踏まえて、自社で重要性によって評価範囲を決定することを可能とするなど、いくぶん緩和された内容となる見込みです。
システム運用におけるSOX法対応をスムーズに実施するためには、仕組みやツールだけでの取組みだけでなく、運用手順整備やドキュメント整備など業務のカイゼン活動を継続して行っていることが、迅速なSOX法対応を可能にすると考えます。
今後もBSPIでは、米国企業での対応事例をご紹介しながら、日本のお客様のシステム運用におけるSOX法対応を応援します。
