PR

ニューヨーク証券取引所に上場するリコーは、米SOX法(2002年サーベインズ・オクスリー法)対応で1度目の監査を終えた。2004年12月に認証を受けた「ISMS」を生かして情報セキュリティ関連の統制を進めるなど、IT全般統制の整備の効率化を図っている。

 リコーが米SOX法対応に着手したのは04年のこと。プロジェクト開始当初から、同社システム部門であるIT/S本部が、IT全般統制の整備・運用に向けた取り組みを主導している。04年度(3月期)中に、業務フロー図やRCM(リスク・コントロール・マトリックス)の作成を終了。05年度からは、作成した文書をベースに関連会社への展開を進めている。

統制の対象とポイント
統制の対象とポイント

 米SOX法対応の対象としたのは、事業拠点と関連会社を合わせて80カ所。グループ全体の米SOX法対応を担当する内部統制室の佃龍一スペシャリストは、「米SOX法対応に着手した段階からIT統制を重視して整備している」と話す。

 IT全般統制を整備するに当たり、リコーが活用したのが、「ISMS(情報セキュリティ・マネジメント・システム)適合性評価制度」である。米SOX法対応に先行して進めていたISMSに基づく認証をグループの91社が04年12月に受けたからだ。IT/S本部の鈴木敏廣IT/S企画室長は、「ISMS認証を取得する際に整備したルールやドキュメント類は、米SOX法対応のベースとして役立った」という。

 ただし、ISMSの認証を取得しているからといって、米SOX法が求める情報セキュリティにかかわる統制が万全というわけではない。

 ISMSと米SOX法対応において大きく異なる点の1つが、「リスクに対する統制の整備や運用状況の評価方法の考え方」(鈴木室長)だ。米SOX法、ISMSともに、外部の監査人による監査を受ける前に、自己評価である内部監査を実施しなければならない。ただIS MSでリスクや評価内容を企業自らが設定するのに対し、米SOX法では、「外部監査人との協議を経て決定しなければ割合が増える」(同)。

 その一例が、監査時に利用するサンプルの準備。米SOX法対応では、「毎日実施する統制であれば30件のサンプルが必要」と外部監査人向けの監査指針で定められている。ISMSでは、監査時のサンプル数についての詳細な指針はない。

 加えて、「外部監査人が要求するテストのレベルも違う」(鈴木室長)という。例えば、「システムのバックアップを定期的に実施する」という統制は、米SOX法におけるIT全般統制とISMSに共通する項目だ。しかし、これを確認するためのテストでは、ISMSが、バックアップの実施を確認するだけなのに対し、米SOX法対応では、「バックアップしたデータを実際に復元できるかどうか」(同)までのテストが求められた。

 逆に内部監査では、ISMSとIT全般統制で同じ項目に対して実施する作業内容は重なる点が少なくない。そのため内部統制室は、米SOX法対応で必要なIT全般統制の項目と、ISMSが定める統制の項目をマッチングし、両者の監査を同時に実施できるようにすることで、内部監査の効率を高めている。

 リコーは今後も、内部および外部による監査経験を生かしながら、より効率的に米SOX法対応を進めるための取り組みを模索していく考えだ。