「米国の監査法人KPMGが米国SOX法対応に関する内部統制監査で指摘した項目のうち、IT統制にかかわる指摘は20%にも及んだ。これは売り上げや財務報告の作成/開示にかかわる指摘項目よりも多い」。日本オラクルの西脇資哲システム事業推進本部セキュリティ&コンプライアンス担当ディレクターは8月21日、SOX法対応に関する米国事情についての視察結果を発表した。
日本オラクルは7月に日本版SOX法に対応する予定があるユーザー企業の担当者など40人とともに、米国SOX法に対応した米国企業やコンサルタント会社、監査法人などを視察した。今回の発表に合わせて、Webサイト上に視察レポートを公開した。
米国SOX法対応企業が抱えている共通の問題点として、「SOX法があいまいで実施基準がないこと」と「多大なコストがかかること」の2点を挙げた。またSOX法対応においては、ITセキュリティが重要な鍵となる。特に「職務分掌やアクセスコントロールのルールをきちんと策定し、実現するための取り組みが内部監査の中でも重要とされていた」(西脇ディレクター)という。米KPMGはIT統制について、「約100ある統制項目のうち、40~50%はアクセスコントロールがかかわる」と説明している。
さらに西脇ディレクターは、「現在の米国企業は文書化のフェーズから、システムを活用したリスク軽減のフェーズに移行している」という。その中でもID管理やアクセスコントロール対策を実施する企業が多い。米国の投資銀行であるリーマン・ブラザーズでも米国SOX法対応の一環で、「Total Access Control」という社内システムのアクセス権限を一括管理するためのプロジェクトを立ち上げている。
