SOX 法で合格点を取る

米国 SOX 法のコンプライアンスは、IT 業界に多くの苦痛や苦悩を引き起こした。財務報告のリスク軽減を目的としたシステム制御が、訳のわからない理由で承認され、その制御にははっきりとした定義付けがされておらず、厄介だ。

この一年にわたり、「‘優’はいらない。合格点が取れればいい」といった類のテーマが再三話題になってきた。今から対策をやり直さなければならないというストレスを避けたい気持ちはわかるが、優を取ることができ、さらにそうしたストレスを回避する方法がある。

SOX 法の核心は、財務報告の整合性を保つことだ。つまり IT 業界では、企業向けサービスで許容できないリスクに焦点を当てるべきだ。数多くのベンダーが何と言おうと、財務報告に関係ないものは SOX 法には当てはまらない。

一番問題になるのは、財務報告のプロセスに大きく関わるサービスである。ここで手を抜くと、公表されるレポートに誤りがでる恐れがある。

SOX コンプライアンスのための制御というのは、具体的には、財務報告に対するリスクを、経営陣の許容可能なレベルまで減らすための制御を実行することである。リスクをなくすということではなく、業務部門の目的と組織の目標を達成するのに支障のないレベルまで、リスクを減らすということだ。

専門用語を借りると、残りの危険を“残存危険性”といい、経営陣が許容できるリスクの大きさをその組織体の“リスク選好度”という。また“リスク許容度”は、目的ごとに許容できるリスクレベルを表す。

これは大変重要だ。どの組織も固有で、独自の文化、資産、目標などを持っている。リスク選好度やリスク許容度は組織によって異なる。結果として、実行する制御もプロセスも異なる。

制御のためのふたつのガイドラインを推奨する。COBIT（Control Objectives for Information and related Technologies）バージョン4.0と ITCO（IT Control Objectives for Sarbanes Oxley）だ。

COBIT バージョン4.0は、すばらしい制御ガイダンスである。これまで世界中で発表された制御のためのフレームワークの中で最高のものだと思う。

ITCO ガイダンスは、現在第二版の草案が公開されている。複数の規制に直面している企業は、COBIT を参考に、制御の幅を広げ、再考し、情報収集してほしい。一方、SOX コンプライアンスのみを懸念している中小企業には、ITCO 文書が役立つだろう。

財務情報の整合性を保証するために最も重要な制御は、“キーコントロール”と呼ばれ、内部監査と外部監査ともに監査の対象となる。先にあげた制御ガイドラインは、何が重要でない制御なのかを特定するもので、ほとんどの組織が参考にできるものだ。制御のなかには、ある程度役立つが重要ではないものも含まれる。

焦点を当てるべきなのは、組織にとって一番問題となるリスク、そしてそのリスクを許容レベルまで減らすことができるキーコントロールを特定することだ。ここでも完璧を求めてはいけない。できる限りの制御を最大限に行おうとすると、高コストになり、欲求不満になり、持続不可能になるだけだ。

最後に、実際に制御を実行するには、それらをプロセスで“包む”必要がある。例えば、 COBIT コントロール AI6.1に、変更の基準とその手順を用意する必要があると書かれている場合は、それらを実施する最善の方法を考え出さなければならない。ここはベストプラクティスを参考にしたい。

ITIL（IT Infrastructure Library）のサービスサポートには、変更管理の手順について最高のガイダンスが掲載されている。しかし ITIL にそのまま従うのではなく、ガイダンスを参考に、自社の資産と制約を考慮して、可能な限り良い形で開始したい。

言い換えると、COBIT と ITCO は何をすべきかを教えてくれるが、それぞれの状況で制御のためのプロセスを“どのように”実施するのかは、自分自身で見つける必要がある。何事に対しても、継続的にプロセスを改善していくことで、開始、学習、そして発展させることができるようなプロセスを自分で考えることだ。

時間とともに、リスクも制御もプロセスも変わる。つまり、何事も変化するわけで、その変化にいつでも適切に対応できるように準備しなければならない。

Deming 博士の賢明な忠告を覚えていてほしい。「プロセスにはふたつの結末しかない。それに従うか、正式に変更するかどちらかだ。別の選択肢はない」

はっきりとランク付けはできないことがわかったと思う。実施する制御の数で、ある会社がランク“A”をもらったり、別の会社がランク“D”をもらったりということはない。

本当に問題になるのは、その会社独自のリスクを理解し、そのリスクを減らすために必要な制御を特定し、制御を活用したプロセスを実行することだ。

まず、現実的で簡単な方法から始めること。次に、実行したことを振り返り、学習し、そして時の変化に応じてプロセスの改善を行って発展させる。これは昔からある計画、実行、点検、行動のサイクルである。

これができれば、“A”だろうが何だろうが問題ない。もう合格点を取ったのだから。