日本版SOX法に備えて、IT(情報技術)の統制環境を整備しているという企業も多いことでしょう。ITに関する統制は、業務処理統制とIT全般統制の2つに分けられます。前者は、アプリケーションの業務フローの中で財務的な不正が発生しないように処理を修正すること。一方、後者は不正が発生する可能性のある処理がシステムに実装されないように、ITガバナンスを整備することです。

 IT全般統制を整備する際に、参考になるのが「COBIT for SOX」です。

 このベースとなったCOBITは、ITガバナンスの確立するためのフレームワーク(成熟度を示す指標)です。COBITでは、ITガバナンスに関するプロセスを34に分類し、総計318種の統制項目を規定しています。このCOBITの項目の中から、米国SOX法に関連するものを抽出したものがCOBIT for SOX(正式な名称はIT Control Objectives for Sarbanes-Oxley)です。

 COBITの策定にかかわった米ITガバナンス協会のウェブサイト(http://www.itgi.org/)では、COBIT for SOXの日本語版ドキュメントを公開しています。同協会のトップページの検索欄に「Sarbanes-Oxley」と「Japanese」を入力すれば参照できると思います。

(吉川 和宏=日経情報ストラテジー)

出典:日経情報ストラテジー 2006年8月号31ページより 日経情報ストラテジー