HP OpenView News 【42-03】
HP OpenView 講座 vol.23
（最新版）日本版SOX法対応におけるITILの有効性

米国企業改革法 (通称： SOX法、Sarbanes-Oxley Act) は、1990年代後半から2001年にかけて相次いで発覚したエンロンやワールドコム等による不正会計処理・粉飾決算事件をきっかけにして、2002年7月に成立した法律です。米国SOX法は、コーポレートガバナンスの強化により企業会計や財務報告の透明性・正確性を高めることを目的として制定されたものですが、中でも注目されるのは404条です。

SOX法404条は、公開企業の経営者に対して米国証券取引委員会（SEC）に提出する毎年の年次報告書の中に、財務報告に係わる内部統制の有効性に関する経営者の評価を含めることを義務付けています。そして、会計監査人は、経営者による内部統制の評価を証明し、報告しなければならないと規定しています。また、SOX法404条は、企業が適切な内部統制のフレームワークを選択・実施することを求めていますが、多くの企業は、米国トレッドウェイ委員会組織委員会（COSO：the Committee of Sponsoring Organization of the Treadway Commission）が1992年に発表した「内部統制の統合的枠組み」を、内部統制のフレームワークとして採用しました。

一方、日本においても、今年6月の参議院本会議で日本版SOX法が可決・成立したことにより、米国と同様に有価証券報告を行う公開企業に対して、内部統制報告書の提出が義務付けられることが決定しました。この金融証券取引法には、米国SOX法404条とほぼ同様の規定が盛り込まれており、その施行スケジュールは、2008年4月1日以降に始まる会計年度からの適用が予定されています。

内部統制報告書の内容については、昨年12月に金融庁企業会計審議会内部統制部会から発表された「財務報告に係る内部統制の評価及び監査の基準のあり方について(*1)」（以下、基準案）において大枠が示されていますが、より具体的な内部統制の実務上の指針としては、今年12月に発表される「実施基準」の公開を待つ必要があります。米国SOX法では、その実施基準が不明確だったために、多くの企業が必要以上の多大な負担を強いられることになったと言われていますので、その反省を踏まえた具体性のある内容になると言われています。

(*1)「財務報告に係る内部統制の評価及び監査基準のあり方について」（PDF） 

この基準案によれば、内部統制とは「業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス」であると定義されています。ここで“合理的な保証”と言っているのは、全従業員の通常職務の中に、財務諸表に関連する重大な金額の誤りや不正による虚偽記載を防止したり発見したりする機能が十分に備わっていれば、全ての取引や証書をチェックしなくとも、信頼性のある財務報告が行われていると見なす事が出来るということです。

今日の企業活動において、財務諸表の多くの勘定科目がITシステムに依存している状況を考えれば、ITシステムの周囲にも金額の誤りや虚偽記載を防止・発見する仕組みが備わっていることが“合理的な保証”のための必要条件であることは明らかです。そのため、この基準案では内部統制の構成要素の一つとして「ITへの対応」が、オリジナルのCOSO内部統制に追加されています。「ITへの対応」では、内外のIT環境に対する適切な方針と手続きを求める「IT環境への対応」と、内部統制の他の構成要素の有効性を高めるためにITを利用すること、及び業務で利用されているITに対する適切な方針と手続きを求める「ITの利用および統制」の重要性が述べられています。

この「ITへの対応」は、いわゆるITガバナンスの確立を公開企業に対して求めているものです。米国においては、ITガバナンス協会（ITGI：IT Governance Institute）が発刊するCOBIT （Control Objectives for Information and related Technology）というフレームワークが、ITガバナンスの監査基準として多くの企業で採用されています。COBITは、ITの企画から運用に至るまでのライフサイクルを4つの領域と34のITプロセスとして分類し、それぞれのプロセスについての詳細な統制目標と成熟度モデルを定義しています。

米国SOX法404条は公開企業に対して適切な内部統制のフレームワークを選択して実施することを求めていますが、多くの企業が採用したCOSOの内部統制フレームワークにはITに関する記述が明らかに不足していました。そこで、大手監査法人が中心となり、COBITのIT統制目標をCOSOの観点から整理した「サーベインズ・オクスリー法（企業改革法）遵守のためのIT統制目標」（通称： COBIT for SOX）という文書が作成されました。「COBIT for SOX」は、財務報告の信頼性に係るIT統制に焦点を絞り、COSO内部統制との整合性を持たせながら、SOX法対応におけるITの統制目標を説明しています。

現時点では日本版SOX法の「実施基準」は未公開ですが、IT統制に関する基準は米国と大きな相違はないと考えられますので、この「COBIT for SOX」は、日本版SOX法への対応においても、大いに参考にすべき文書であるといえるでしょう。

※	「COBIT for SOX」は ISACA（Information Systems Audit and Control Association）  のサイトから入手することが出来ます。

さて、この「COBIT for SOX」では、財務報告の信頼性に係るITの統制目標や成熟度モデルが示されていますが、それらの目標を達成するための具体的な方策までは述べられていません。現実のIT部門の業務に照らし合わせて考えた場合に、どのように現状の組織やプロセスを変更し、どのような情報を捕捉し、どのようなツールを導入すれば良いのか、それらについての実務的なガイドラインがなければ、IT部門にとって多大な負担となってしまいます。

「COBIT for SOX」では、ITマネジメントのフレームワークであるITILやISO17799（情報セキュリティ）との整合性が考慮されていますので、IT運用に関する統制目標についてはITILをベースにして各プロセスの成熟度を高めることが、IT部門にとって現実的なアプローチだと言えるでしょう。

例えば「COBIT for SOX」では、IT運用に関して以下のような統制目標を挙げています。（参考として、カッコ内にITILの該当プロセス名を示しました。）

• 財務報告上重要なシステム変更は、本番環境に移行する前に承認され、適切にテストが実施されている合理的な保証を提供する。
  （変更管理、リリース管理）
• 財務報告システムの要件を満たすとともに、サービスの質を測るパフォーマンス水準に関する共通な理解をもたらすような方法でサービスレベルが定義され、管理されているという合理的な保証を提供する。
  （サービスレベル管理、可用性管理、キャパシティ管理）
• 統制は、データの不正使用、開示、変更、破損または損失を防ぐために、財務報告システムおよびサブシステムが適切に保護されていることを合理的に保証している。
  （セキュリティ管理、ITサービス継続性管理）
• 問題または事故が適切に対応され、記録され、解決され、または適切な解決に向けて調査が行われている合理的な保証を提供する。
  （インシデント管理、問題管理）
• セキュリティ、処理、および可用性に関連するすべてのIT構成要素が十分に保護されており、これが不正な変更をすべて防止するとともに、現在の構成の検証と記録をサポートするという合理的な保証を提供する。
  （構成管理、変更管理）
• 記録・処理・報告されたデータが、更新および保存プロセスを通じて完全で、正確で有効であり続ける合理的な保証を提供する。
  （可用性管理、セキュリティ管理）
• 承認されたプログラムが計画通りに実行され、スケジュール化された処理の逸脱が識別され、調査される合理的な保証を統制が提供する。この中にはジョブスケジューリング、処理、エラーのモニタリングならびにシステムの可用性に関する統制が含まれる。
  （アプリケーション管理、ICTインフラストラクチャ管理）

SOX法とITILの関係
≫拡大画像(新規Window)

前述の通り「COBIT for SOX」は、SOX法404条が求める財務報告の信頼性に主眼を置いた内容になっていますので、その統制の対象となるITシステムは財務諸表に影響を及ぼす可能性のあるものとされています。ところが、今日のようにITシステムのWEBアプリケーション化が進み、社内外のエンドユーザが汎用WEBブラウザから広域ネットワーク経由でシステムを利用する形態が一般化してくると、IT全般統制の対象とすべき要素は、非常に広範なものに拡大しています。特に、データ・セキュリティの観点においては、ネットワークに接続される全ての機器やユーザが統制の対象であると考えられます。

このような状況より、財務報告の信頼性を確保するためにIT部門が採るべき対応と、ITサービス全体の品質を向上させるため改善活動とでは、その対象とする範囲や内容において大きな差はないと言うことが出来ます。言い換えれば、ITILプロセスを実践することによりIT部門の業務改善を行うことは、SOX法への対応においても有効性が高いということです。例えば、米国HPはSOX法以前よりITILをベースにしてITプロセスの標準化を世界的に推進していたことにより、SOX法対応としてIT全般統制の整備に要した期間は、実質３ヶ月程度であったと言われています。

ただし、一般的なITIL実践においては、その導入効果が最も出易いのは「インシデント管理」とされていますが、SOX法対応においてはリスクマネジメントの観点から導入効果を考える必要がありますので、残存リスクの大小から導入プロジェクトの優先度が決められるべきです。例えば「変更管理」や「リリース管理」は、変更に起因する障害リスクの低減というだけでなく、IT部門内の職務分離による不正・誤謬防止という観点からも重要なプロセスであると考えられます。

「COBIT for SOX」は、IT統制について以下のような6段階の成熟度モデルを提示しています。

• 段階0 不在
• 段階1 初期段階／個別対応
• 段階2 再現性があるものの、直感的
• 段階3 定義されたプロセス
• 段階4 管理され、測定が可能
• 段階5 最適化されている

これらはIT統制の有効性を評価する上での指標となりますが、SOX法の監査をクリアするためには第3段階以上の成熟度が要求されると言われています。すなわち、ITに関する統制や手続きが適切に文書化されており、統制活動の有効性評価が定期的に行われているなどの諸条件が満たされる必要があります。

例えば、財務報告上重要なシステム変更に対する統制目標においては、文書化された手続き、変更要求への適切な承認、職務の分離と統制された環境、本番移行前の十分なテストなどが求められています。これらはITILの「変更管理」と「リリース管理」のベストプラクティスに包含された活動ですが、成熟度という観点からすると、それらがIT部門の通常の職務の中に正しく記述されていて、且つそれらをモニタリングする仕組みが備わっていることが重要です。また、PDCAサイクルによる改善プロセスの存在も、成熟度の評価のポイントとなります。

日本HPでは、ITILプロセスを実践するためのツールとして「HP OpenView Service Desk」を提供しています。HP OpenView Service Deskに関する詳細は下記リンクをご参照下さい。
≫http://h50146.www5.hp.com/products/software/management/openview/lineup/sd/index.html

変更管理プロセスを支援するHP OpenView Service Desk
≫拡大画像(新規Window)

HP OpenViewでは、ITILプロセスを実践するためのツールとして「HP OpenView Service Desk」をご提供しています。
その他、HPが自社のSOX法対応における社内ツールとして開発した、ITインフラの内部統制状態を監視し、その記録を行う「HP OpenView Compliance Manager」を中心に、各種HP OpenView製品を活用した内部統制の整備をお勧めしています。

≫HP OpenView Service Desk
≫HP OpenView Compliance Manager