日本ITガバナンス協会は1月1日、「IT Control Objectives for Sarbanes-Oxley(COBIT for SOX) 2nd Edition」の日本語訳を公開した。COBIT for SOXは、ITガバナンスのフレームワーク「COBIT 4.0」を「財務報告にかかる内部統制」の視点で抽出・整理し、米SOX法(2002年サーベインズ・オクスリー法)で必要とされるIT統制の目標を明確にしたもの。同協会のWebページから無料でダウンロードできる。
具体的には、(1)リスク評価の手順、(2)リスクに対する統制(コントロール)の整備方法の例、(3)整備したIT統制の評価方法、を記述。さらに、スプレッド・シートに対する統制の整備や、第3者が発行した監査報告書を外部委託先の内部統制の整備状況の証明に利用する際の注意事項なども示している。総ページ数は100ページを超える。
(1)では、リスクの評価方法に「トップダウン型」を採用している。これがCOBIT for SOX 2nd Editionの特徴の一つといえる。トップダウン型のリスク評価方法では、リスクに優先順位を付ける。すべてのリスクに対して統制を整備する方法と比べ、IT部門の負担は軽い。「日本版SOX法」も同様の考え方をしているため、日本企業には参考になるだろう。
COBIT for SOX 2nd Editionが米国で公開されたのは、昨年10月。米ITガバナンス協会と米情報システムコントロール協会(ISACA)が公開後、日本ITガバナンス協会とISACA東京支部が中心になって日本語訳を進めていた。前版に当たる「COBIT for SOX」の公開は2003年。米SOX法対応企業の経験などを踏まえて改訂したものが2nd Editionである。
