AR Systemベースの日本版SOX法対応ソリューション

SOX法（サーベンス・オクスリー法）は、企業の会計不祥事防止、財務報告の信頼性確保、投資家の市場 に対する信頼回復を目的として、2002年7月に米国で成立した法律です。わが国においても金融庁を中心 に同様の制度化が検討されています。（日本版SOX法）
日本版SOX法の大きな特徴に、内部統制（※1）の構成要素の１つとして、ITの内部統制（全般統制（※2）、業務処理統制（※2））への対応を取り上げていることがあります。
このことは、IT担当者に、内部統制 （特にITの内部統制）について、相応の理解に加えて、積極的 な関心と係りを持つように求めていることを 示しています。
そこで東芝情報システムでは、日本版SOX法対応に向けた「ITの内部統制」への取り組みを考慮した 日本版SOX法対応ソリューションを展開しております。

内部統制（含：ITの内部統制）対応を考慮して日本版SOX法準拠を実現する際に、ITIL（IT Infrastructure Library） を活用することは1つの重要なアプローチとして非常に有効です。

日本版SOX法では、ITの内部統制を ”予め適切な方針及び手続きを定めること” と規定しております。 それを受けて、 各種公開文書においてITシステムの内部統制に関する具体的な記述が記載されるよ う になってきております。

（例）：金融庁公開文書に記載されているITシステムの内部統制整備項目（一部）

• 企業内全体にわたる情報処理システムが、財務報告に関わるデータを適切に収集し処理するプロセスになっているか
• 各業務領域において利用されるコンピュータなどのデータが適切に収集、処理され、財務報告 に反映されるプロセスになっているか

これらの整備項目を評価するためには、ITシステムの運用プロセスが標準化されていることが必須です。

ところが、SOX法にはITシステムの運用管理手法に関する具体的な規定はありませんし、自己流で運用管理 を行って整備項目を評価するのには限界があります。

そこで、注目を集めているのがITILです。ITILは

• 運用プロセスの可視化
• 運用プロセスの標準化
• 運用におけるサービスレベルの明確化と保証

を実現し、運用サービスを見直しすることを目的としたガイドラインであり、ITILを適用することで、SOX法で求められている正常な内部統制活動を強力にサポートすることになるからです。

また、内部統制が正常に行われていることの監査は

• 運用プロセスが明確になっていること
• 明確化されたプロセスに基づいて運用が行われていることを証明できること

の2つの視点で行います。両方を満たすにはITILを適用することが有効です。

SOX法先進国・米国ではITシステム運用管理手法としてITILを適用する動きが活発化しており、今後日本でも同様の動きがあるものと予想されます。

“ITIL”の説明資料は下記コーナーよりダウンロードしていただけます。

ITILの説明資料 (PDF/294KB)（別ウィンドウで開きます）

そこで、SOX法対応とITIL適用を支援するソリューションとして、東芝情報システムでは、ITIL準拠パッケージ“Remedy IT Service Management”の導入を推奨しております。

“Remedy IT Service Management”は、内部統制の運用支援機能、運用が正しく行われていることの証明を支援する機能を所有しております。

“Remedy IT Service Management”の詳細な製品情報は、Remedy ITSM for the Enterpriseをご参照ください。

“Remedy IT Service Management”の製品紹介資料は下記コーナーよりダウンロードしていただけます。

Remedy ITSM for the Enterpriseの製品紹介資料(PDFファイル/1229KB)（別ウィンドウで開きます）

※1内部統制とは本来は大変広範囲の概念です。企業において、特定の目標、目的に沿って行われる活動（業務）の統制は、全て内部統制の一種と考えられるからです。ここでは『業務の有効性、会計面や管理面での信頼性、法令順守、資産保全の確保を合理的に保証するために、業務に組み込むべきプロセス』と定義します。

※2 内部統制の中でも、ITに関連する統制は「全般統制」と「業務処理統制」に分類されます。双方が有効でないと、IT統制活動は機能しません。

業務処理統制 ：

業務システムにおいて、承認された取引がすべて正確に処理、記録され、かつ改ざんされないことを確保する統制

全般統制 ：

ITを利用した業務処理統制が有効に機能することを保証する間接的な統制 （ネットワーク運用管理、ソフトウェアの取得/開発/変更/運用/保守、アクセス・コントロール、アプリケーションシステムの取得/開発/保守などに関する統制活動）つまり、ITに関連したSOX法対応とは、全般統制と業務処理統制を実現し、正常な運用を証明できることであると言えます。