Develop and Download Open Source Software

OpenSource Downloads
7-Zip  (3,768)  
Tera Term  (1,863)  
CrystalDiskInfo  (1,753)  
HandBrake Japanese Language Version  (1,682)  
CrystalDiskMark  (840)  
FFFTP  (808)  
ffdshow  (757)  
MergeDoc  (629)  
mixfont-mplus-ipa  (619)  
10  TortoiseSVN  (517)  
11  FreeMind  (445)  
12  BathyScaphe  (421)  
13  Amateras  (380)  
14  Boookends  (375)  
15  SMPlayer  (370)  
More >>

Magazine 最新特集記事

グラフィカルな管理ツールを用意し、Windows Serverも利用できるKVM型VPS「GMOクラウドVPS」の性能をチェック (2012/5/19)

GitやSSHでOK、Windows AzureをUNIXライクなサーバーとして活用しよう (2012/4/25更新)

月額1,450円(税込)でメモリ2GBを利用可能、WebARENAの新サービス「VPS エントリー」の性能をベンチマークでチェック (2012/4/23)

過去の特集...

SourceForge.JP Magazine注目記事

ハードディスクの中身を誤って消した場合のファイル復旧方法

ハードディスクを完全消去する「DBAN」のインストールと使い方

HDD/SSDの健康診断を行うS.M.A.R.T.対応ツール「CrystalDiskInfo」 の使い方

HDDやSSDなどの速度を計測するベンチマークソフト「CrystalDiskMark」 の使い方

CDやUSBメモリから起動してHDDのパーティション操作やバックアップを行う「GParted live」の使い方

各自のニーズに則した復旧用ブータブルCDのカスタム作成法

まさかのファイル消失時にファイル復元を試みるツール「Magic Rescue」

Tera Termマクロ活用入門(1):各種ログインを自動化する

TeraTermマクロ活用入門(2):リモートマシンを自在に操作する

Gitを使いこなすための20のコマンド

分散バージョン管理システムGit入門

SOX法のコンプライアンス──5年目の真実──ボーイングの教訓から適切な監査レベルを学び取れ

2007年08月23日 15:53 [IDG-2007/08/16] 1 2

細かすぎる数値

 断っておくが、筆者はSOX法の意図を批判しているわけではない。「あいまいな指針が望ましいという考え方」に異を唱えているだけだ。企業における技術統制――すなわちITシステムとネットワーク――が、財務管理条件をセキュリティとプライバシー・ポリシーを通じて正確に実装しているかどうかを審査するというSOX法の本来の意図は、もちろん非常に重要である。

 資産と統制を見極め、テストを行って実質的な弱点を見いだし、内部統制が機能していることを確認すれば、統制がうまく機能しているかどうかの感触は得られるはずだ。うまくいっていない場合には、文書化が必要になる。

 もっとも、これから得られるのはあくまで「感触」である。SOX法コンプライアンスのための事実上の公式団体であるPCAOB(公開会社会計監視委員会)が業界とともにコンプライアンスの審査方法/監査方法の標準化に取り組んでいるが、いまだに測定基準は統一されていない。

 PCAOB は、米国トレッドウェイ委員会組織委員会(The Committee of Sponsoring Organization of the Treadway Commission:COSO)が提唱するCOSOフレームワークを推奨しているが、実際にはITガバナンス協会(ITGI)の「COBIT (Control Objectives for Information and Related Technology)」が使われることのほうが多い。

 また、アウトソーシングされたサービスの審査には、米国公認会計士協会(AICPA)が策定した監査標準「SAS 70 Type II」や、「WebTrust」監査規準などが使われている。このように多くの規格が存在する中で、一部の監査人や査定人は今もなお、自分たちを特別視しているからか、あるいはそのほかのすべを知らないからか、独自の手法を貫いている。

 SOX法コンプライアンス・レベルを、小数点以下何ケタもの数字を並べたパーセンテージで表して報告書を作成するような監査人、査定人、あるいはコンサルタントは、いずれも勘違いをしているか、さもなければ“うそつき”である。

 資産価値、技術統制の性質および状態、そして検知した弱点が及ぼすであろう影響について、そこまで細かい数字で評価できる人なら、毎日の雨量でさえも小数点第4位まで正確に予測できるはずだ。

 それができないというのであれば、コンプライアンス・レベルに関する数字も当てにはならない。重箱の隅をつつくようなつまらない点ばかりを指摘したがる監査人には、速やかに退出していただこう。

適切な監査レベルを見極めるのは
企業幹部の仕事

 規制当局、監査人、コンサルタントの立場からすれば、SOX法は、量を増やすほどどんどん衣服をきれいにする“漂白剤”のようなものだ。

 しかし、それとは違う立場にある企業幹部であれば、自分たちのビジネスの“生地”、すなわち構造を理解し、それに見合う適切なレベルのSOX法審査を決定するべきであろう。既製の測定手法以上の、しかしビジネスを破綻させることが決してないような、適度なレベルの審査を。

 この姿勢を見事に示してみせたのが、先に紹介した報道に対するボーイングの対応ぶりだ。監査人がコンプライアンスを巡って些細な問題を1つ、2つ突きつけても、見事に無視してしまう――これこそ、正しい行為だ。特に、そのときに同社が発表した以下のコメントは注目に値する。

 「(SOX法の)遵守とは、1つの誤りも許されないということではない。求められているのは、内部統制構造におけるいかなる誤りをも効果的に見極め、審査し、改善するための機構の設置だ。また、同法は、これらの誤りの重要度に基づいた適切な報告義務と、誤りを適切な期間内に改善する義務を企業に負わせている」

 しかもこのコメントを出したあと、ボーイングは、雇った監査法人の間に見られたコンプライアンス測定値の差異は深刻なレベルではなかったと、丁寧に説明している。

 査定人または監査人による分析レベルが、プロセス/技術統制に欠陥があった場合にさらされるリスク・レベルを正しく反映できるものであるのかどうか、ボーイングのような事態に陥る前に、企業は今一度確認しておくべきだろう。財務およびプロセス統制に関する監査がビジネス・パートナーから世界中のサービス・プロバイダーへと広がり始めた今日においては、このことは特に重要である。

 また、基本的なビジネス・プロセスが文書化されていない企業においては、さらに深いレベルの査定、ならびに「リピータビリティ(再現性)」と「役割」に関する話し合いがぜひとも必要である。

 しかしながら、もし前年の監査結果で投資家の資金が目標どおりに集まっており、また経営陣が従業員の401k(確定拠出型年金)プランで私腹を肥やしていないことがはっきりしているのであれば、SOX法監査人がランチを囲んでディベロッパーとファンクション・ポイント分析(FPA)について話し合う必要など、ほとんどないのだが……。

« 前のページ 1 2

関連トピック

最終更新:2007年10月23日 17:08
Go to top of the article
About SourceForge.JP
Find Software
Develop Software
Community
Help
SourceForge.JP is a Japanese version of SourceForge.net. For developments that are not related to Japan, we recommend you to use SourceForge.net.