SOX 準拠

SOX 遵守の意味

これは Sarbanes-Oxley 法に基づくもので、米国で上場している企業は経済報告の基準を設定する必要がございます。これらの主要な基準には、データを守ること、違反の監視、監査に関する電子記録の管理、および遵守の実証が含まれます。

上記の SOX 関連の法律が何を意味するのか疑問に思う方もいらっしゃるでしょう。本法は内部の会計記録の信頼性を保証するための規定で、CEO と CFO が予算報告の正確性を保証する署名を行うことが求められ、虚偽の報告を行った場合の罰則（損害賠償や懲役）が強化されます。

これにより、米国の投資環境に対して信頼性を確保することが目的です。

財務記録を守るための規定を選定し維持することは、企業の会計手法に影響を与える要素です。さらに、高い基準で会計記録と SOX の安全対策について報告する必要があります。

なぜ SOX が必要なのか？

率直に言えば、法律により義務付けられているためです。

上場企業は、すべての適用規定に従う義務がございます。違反すれば、企業および役員に厳しい罰金や懲罰が科される可能性があります。

日常のコンプライアンス管理の一環として、企業が SOX を十分に遵守しているか確認することが求められます。ハッキングやその他のプライバシー問題を速やかに知らせる仕組みと同様に、内部統制のシステムで不正を検知できる体制を整える必要があります。

法律で定められた定期的な SOX 監査は欠かせません。まず、自社に適用される SOX の各規定を把握することが重要です。

誰が SOX に準拠すべきか？

この法律は米国の企業全体に広く適用されます。米国で上場している企業はもちろん、完全子会社や海外法人も対象です。また、会計監査や上場企業のレビューなどのサービスを提供する事業者にも重要な規定となっております。

SOX により監査業務と会計業務は分離されています。したがって、SOX を遵守する企業の会計をチェックする事業者（または監査法人）は、監査過程において偏りが生じないよう、評価や経営に関する業務を兼任することはできません。

さらに、情報技術システムの構築や導入、金融・銀行支援、その他経営に関連する助言も禁止されています。

民間企業、非営利団体や慈善団体などは、通常、SOX の全てに厳格に従う必要はありませんが、財務データを意図的に破棄または改ざんしてはいけません。SOX を遵守しない企業は、罰金の対象となります。

‍

SOX 遵守の利点

特定の企業にとっての SOX 準拠の利点は以下の通りです。

• 内部統制規程

Sarbanes-Oxley 法は SOC 2 準拠と同様、企業が自社のデータ及び事業を守るための内部統制規程を理解する出発点を提供します。つまり、SOX の会計準拠とは、情報の窃盗から企業を守るための規程とプロセスのことです。

• 拡張に適したプロセス

記録管理のプロセスが整っていれば、調査が効果的に行えます。また、他の業務プロセスも、重要な目的と最適な統制に注力すれば有効です。

初めは、各部門での IT SOX 準拠の連携から始まりました。企業は、最初からコスト効率が高く安全性を重視したプロセスを設計することで、監視費用を抑え、財務成長を最大化できます。

• 信頼性と効果的な監査

内部監査チームは、SOX の記録管理と評価について明確な責務を持つようになり、経営陣も監査結果に責任を負うようになりました。これにより、外部監査法人の業務効率も向上します。

‍

SOX 遵守の欠点

• 追加の罰則

会計記録に署名や公表がなされない場合、役員や個人が責任を負うのをためらうことがあります。

• 新たな内部規程の導入

財務データのプロセス構築、報告書の正確性の確認、新たな承認手続きの導入など、SOX 要件を満たすための作業は非常に手間がかかります。

• より厳格な管理

本来、主要業務に充てることができるリソースが、財務報告に振り向けられるため、会計コストが増加します。

‍

SOX 準拠の要件

1. 経営陣の責任

上場企業の CEO および CFO は、SEC（証券取引委員会）に提出する収益報告について直接責任を負います。違反があった場合、これらの最高位の幹部は懲役など厳しい法的措置を受ける危険があります。

2. 遵守の証明

SOX では、企業は監査人の要求に応じ、施行記録を保持し、継続的な SOX テストを実施し、遵守目標の達成状況を追跡・評価することが求められます。

3. 内部統制記録

SOX によれば、経営陣が財務データの内部監視システムの管理責任を負っていることを示す報告書が必要です。透明性を確保するため、いかなる誤りも速やかに経営層へ報告されなければなりません。

4. 情報の安全規定

企業は、金融情報の利用と保存を十分に守るため、文書化されたデータ安全策に従う必要がございます。SOX の宣言ポリシーは、全従業員が理解し従うべきものです。

SOX 管制措置

企業は SOX の安全措置を実施し、意図的か偶然かを問わず会計記録の誤りや不整合を発見、阻止します。財務情報や経済結果の報告に関連するすべての業務に、これらの措置は必要です。

経済報告を扱う企業は、SOX の義務を果たすために、指示を記録、評価、保存し、定期的に検証しなければなりません。これらの措置が SOX 基準に沿っていることを証明するため、内部監査は継続的に遵守状況をチェックする必要があります。

これらの方法は、企業経営の責任を明確にし、財務報告の信頼性を確保、さらに株主を欺瞞から守ることを目的としています。

米国政府は、SOX のガイドラインを補完し、上場企業の経済調査の正確性を担保するため、独立機関である PCAOB を設置しました。

‍

SOX IT 監査

独立した監査人は年に一度、SOX 準拠監査を実施します。企業は、監査人の選定・雇用および必要な会議の調整を行う責任があります。

企業の内部監査は SOX 監査と分離して実施し、利益相反を防ぐ必要があります。監査結果は投資家に公開されるため、年次報告へ反映できるよう、十分な準備期間を設けるのが賢明です。

通常の SOX 監査は、以下の流れで進みます。

• 経営陣と監査人との事前協議により、監査の範囲とスケジュールを決定。
• 会計記録の誤差を確認。5%超の差異があれば、詳細な調査が必要です。
• 担当業務が職務記述書に沿っているか、従業員が財務データを安全かつ正確に取り扱うための研修を受けているかを確認するため、面接を含む人事評価を実施。

SOX 監査への準備

事前準備をしっかり行うことで、失敗を防ぎ、SOX 監査のコストを抑えることができます。多くの企業は、少なくとも以下の段階を踏んでいます。

• Sarbanes-Oxley 準拠基準の評価
• 規制の設定と明確化
• 環境設定の適用
• 統制テスト
• 内部監査の実施

新たに上場した企業にとって、最初の二段階は大変な作業です。これは、Sarbanes-Oxley 法の要件定義や統制の設計など、複数の段階に分かれる作業を含むためです。ここでは、いくつかの代表的な補助業務を紹介します。

SOX 監査の計画段階

SOX 監査を実施するための前提条件は以下の通りです。

1. 長期的な目標と成長を見据えた計画

どの会計手法や統制が企業成長に合わせて拡張可能か検討します。Sarbanes-Oxley 法の大きな利点は、企業が成長するにつれて、より堅固な SOX 報告と守りを実現できるよう、IT および財務プロセスや規程を整備する点にあります。自動化が必須ではなくとも、利用権限の付与や削除などの手続は円滑であるべきです。

2. SOX 準拠を支える体制の選定

Information Technology Governance Institute (ITGI)、COSO、COBIT など SOX 規程に関連するモデルについて調査してください。例えば、ITGI は COSO や COBIT の要素を活用しながら、プライバシーを重視しています。貴社に最適な方法を選択してください。

3. リスク評価の実施

SOX 規程に従うべき企業の領域を特定し、PCAOB の会計ガイドラインを用いて脅威とその影響を把握してください。

4. ギャップ分析の実施

コンプライアンスが求められる部門では十分な統制が整っている場合もあれば、そうでない部門もあります。ギャップ分析により、欠如または不十分な統制を明らかにし、重点的に対策を講じるべき箇所を把握できます。

5. 重要性評価の実施

この段階では、企業は重要な項目を特定し、報告リスクを評価して、対策を講じるべき領域を判断します。つまり、何が財務諸表に大きな影響を及ぼすのか、投資家の意思決定にどのような要素が作用するのか、またどの金額や資産が重要なのかを検討します。

6. SOX 評価の実施

詐欺が発生しやすい箇所を特定し、早期発見、詐欺リスクの低減、及びその影響の緩和策を講じるための評価が有用です。

‍

SOX 準拠チェックリスト

企業ごとに事情は異なるため、全てに共通するチェックリストは少ないですが、以下は重要な SOX 準拠のポイントです。

アクセス制限の確認と監視

定期的にアクセス制御の検査と監視を行うことが大切です。機密の財務データに影響を及ぼす可能性のある権限変更があれば、即時通知を受けるようにしてください。不正なログイン試行や会計データの改ざんにも注意し、常に 最小権限の原則 (PoLP) を守ってください。

警告の確認

SOX 監査ソリューションからの通知は速やかに対応し、十分に確認してください。

アップデートの実施

システムのすべての構成要素、特に監視やログのソフトウェアは常に最新の状態に保ってください。

機密情報の整理

機密の財務情報を定期的に分類し、新たな情報作成にも注意を払ってください。

個々の行動の追跡

SOX 準拠違反につながる可能性のある、異常なユーザー行動に注意してください。例えば、ユーザーが財務情報を安全でない場所へ流出させることは避けるべきです。

SOX 準拠状況の把握

最新かつ定期的な SOX 準拠状況の記録を保持してください。監査時に必要なデータを提供する際に役立ちます。

検査官との円滑な連絡

SOX 監査人が必要とするツールや情報へのアクセスを確保し、運用報告をメールなどで提出してください。財務情報を守るための安全対策に関する技術的な問題があれば、速やかに伝えてください。

社員教育

既存・新規を問わず、すべての従業員が SOX 基準を含む、財務情報を安全かつ適切に管理するための継続的な教育を受けるようにしてください。

攻撃通知の手順の整備

セキュリティ上の抜けやインシデントは、可能な限り詳細に、速やかに報告してください。

過去の記録の管理

情報窃盗やその他のセキュリティ問題に関する全ての出来事を記録してください。これにより、セキュリティ担当者が調査を行い、監査人に状況の把握を示すことができます。

情報の削除を避ける

定期的なバックアップ、異常なファイルやフォルダ操作の監視、及び外部ネットワーク通信のチェックを含む、強固なデータ損失防止対策を確立してください。

SOX 非遵守時の罰則

SOX の規定に従わなかった場合、罰金、上場廃止、D&O 保険の取消などの制裁が科されます。本法によれば、虚偽の宣誓を行った CEO（または CISO）および CFO は、罰金最大500万ドル、懲役最長20年のリスクがあります。

SOX 準拠？ Wallarm が支援します。

Wallarm は、クラウドベースの多彩なソリューションを提供し、企業が長期にわたり SOX 準拠を実現し続けるのを支援します。

• ‍Wallarm Cloud-Native WAAP: 本ソリューションは、クラウドネイティブ環境での脅威検知、運用、統合を簡素化し、データ分析とサイバーセキュリティ対策を容易にします。
• ‍FAST: セキュリティテストは SOX 準拠維持に大いに役立ち、本フレームワークは API や DevOps パイプラインに非常に有効です。

SOX 準拠をより簡単にするため、Wallarm のプラットフォームと先進のソリューションをぜひお試しください。