情報システム部門の負担

日本版SOX法は、自社の財務報告に不正や誤りが生じないよう監視やチェックの体制を築く、すなわち「内部統制の確立」を企業に求めた法律である。

日本版SOX法が求めるのは、「財務情報の正確性」です。企業経営で重要な勘定科目について、それがどのように算出されたかを示すプロセスや証拠文書を残し、曖昧な部分がないよう計算されたことを証明する体制を作ることを規定しています。

当然ながら、情報システムそのもの、またはシステムの開発・運用体制についても対応を迫られることになります。

例えば、「不正が起きないように開発担当者と運用担当者を分ける」「開発時のドキュメントとテスト結果を残す」「アプリケーションの修正履歴とそのテスト結果を残す」などが必要になってきます。

一般的に、日本企業の情報システム部門は、付き合いの深い(長い)ベンダーと“あうんの呼吸”で作業を進める場合が少なくない。

ところが、SOX法では、こうした「あうんの呼吸＝暗黙の了解」は通用しなくなる。システムに関する要求は文書化した上で、正式なプロセスを経て承認を受け、初めてシステムを修正できるのです。

修正したら、必ずテストを実施し、テスト・データや内容を証拠として残さなければなりません。もし、”あうんの呼吸”で作業してきた場合、作業内容によっては、これまでとは仕事のやり方を変える必要があります。