KPMGの日本企業担当監査人、SOX法対応の実際を語る

2006/7/22

 米国で上場している日本企業の監査を担当し、米国SOX法への対応でもアドバイスをしている米KPMGのパートナー シャヘド・ラティフ(Shahed Latif)氏は、米国SOX法に関連するIT統制について、「100ほど設定されるコントロール(統制)のうち、4〜5割はアクセスコントロールがかかわってくる」と説明した。ITシステムへのアクセスコントロール、アイデンティティ管理は、いわゆる日本版SOX法(金融商品取引法の一部)でも重要になるとされ、ラティフ氏は「対応の鍵になる」と強調した。

米KPMGのパートナー シャヘド・ラティフ氏

 ラティフ氏は日本オラクルが企画した「米国SOX法現地視察ツアー」で講演した。同氏は米国上場で米国SOX法に対応した日立製作所の監査人。米国のPCAOB(Public Company Accounting Oversight Board、公開会社監視委員会)はITの全般統制について「プログラム開発」「コンピュータ運用」「プログラム変更」「プログラムとデータへのアクセス」の4つのカテゴリを設定している。KPMGは4カテゴリに対して100項目のコントロールを設定。ラティフ氏はそのうちのプログラムとデータへのアクセスについて、コントロール項目を紹介した。

 プログラムとデータへのアクセスに関してKPMGが設定しているコントロールは、「セキュリティポリシーの整備、認識」「ITリソースへの物理的、論理的な認証、承認の仕組み」「ユーザーアカウントの作成、変更、削除がタイミングよく行われているか」「アクセス権限の定期的な確認」「適切な職務分掌(Segregation of Duties:SoD)」など。ラティフ氏は特にSoDについて監査で指摘することが多いと語った。KPMGが行う監査では、このコントロールと、対象企業が定義したコントロールを比較して、足りない点を指摘するという。

 内部統制の不備を補うためのコントロールでは、ITシステムの活用が重要になる。KPMGの2005年の米国での調査によると、内部統制にかかわるコントロールのうち、20%はITシステムが関係する。ラティフ氏は「ITシステムが手作業によるコントロールの負担を減らすために使われている」と語った。

 ただ、監査人が「重大な欠陥」(Material Weakness)と見なす内部統制の不備で最も多いのもITシステム関係で、KPMG調査によると21%を占める。ほかは人事関係の13%、財務報告の12%など。ラティフ氏は「ITがコントロールの中心でありながら、自動化などで十分にフォローされていない」と指摘した。また、「日本企業を監査してきた私の経験では日本版SOX法でもSoDが必ず問題になるだろう」と話した。

(@IT 垣内郁栄)

[関連リンク]
KPMG Japan
日本オラクル
日本版SOX法ポータル

[関連記事]
「DB管理者からキングダムを奪え」、SOX法で浮上するSoD問題 (@ITNews)
SOX法対応ID管理は難しい?――専門コンサルが語る (@ITNews)
月1500人が入社するリーマン・ブラザーズ、そのID管理とは (@ITNews)
「SOX法対応のスタートポイントはID管理」、米オラクルVP (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -