トーマツの丸山満彦エンタープライズリスクサービス部パートナー
[画像のクリックで拡大表示]
内部統制ソリューション展の特別講演に、監査法人トーマツの丸山満彦エンタープライズリスクサービス部パートナーが登壇。監査の実務経験を基に、日本版SOX法における「ITへの対応」の勘所を指摘した。
丸山パートナーは「多くの企業でIT統制は後に回されがちだが、間に合わなくなる恐れがある」と警鐘をならした。日本版SOX法(金融商品取引法)では、2008年4月以降に始まる事業年度の期末に内部統制報告書を提出する義務があるが、期末日までに是正できない不備があれば、報告書に記載しなければならない。しかし、丸山パートナーによると、IT統制はシステム変更に時間とコストがかかるため、短期間に是正できない不備が残る可能性が高いという。
特に、IT全般統制における「変更管理」に不備があるケースが多いとしている。例えば、Web系のシステムでは、開発・保守手順が整備されてない場合が多く、変更管理の統制が難しい。さらに、外部に開発・運用・保守を委託しているケースでは、IT全般統制の準備ができていないところが多いという。
IT全般統制の整備には、日本語版も公開されている「IT Control Objectives for SOX」(通称COBIT for SOX)が参考になると指摘した。特に、変更管理にかかわる作業の自動化と、テスト手順の明確化、アクセス管理(ID管理とアクセス制御)などが、多くの企業で対応できていないため、COBIT for SOXなどを参考に早めに整備することが重要だと強調した。
