SOXコンプライアンスとは何ですか?

サーベンス・オクスリー法(SOX) エンロンのスキャンダルや同様の事件に対応して2002年に作成されました。 SOXの目標は、上場企業の財務報告の正確性を確保することにより、上場企業の株主を保護することです。

Security Complianceのデータシート(英語) デモをリクエストする

SOXコンプライアンスとは何ですか?

SOXに準拠する必要があるのは誰で、その理由は?

SOX法は、主に上場企業に適用されます。 上場企業は、SOXの監査および報告要件に準拠する必要があります。 ただし、SOXの一部の条項は民間企業にも適用されます。 これらには、文書を変更、改ざん、または破棄することにより、連邦政府機関の調査または連邦破産事件を妨害することが含まれます。 SOXには、内部告発者の保護や、上場企業と非上場企業の両方に適用される経理部門と人事部門の規則も含まれています。

SOXコンプライアンス要件

SOXの目的は、企業の財務情報開示の正確性を確保することで株主を保護することです。 コンプライアンスを遵守するには、組織は各財務レポートにインターンコントロールレポートを含める必要があります。

この内部統制レポートは、財務データを保護し、財務データが正確であることを保証するために組織が実施している管理の概要を概説することを目的としています。 組織は、組織の統制、手順、およびプロセスを評価するために、毎年第三者による第 404 条監査を受ける必要があります。

SOXは、コンプライアンスの責任を経営陣に負わせます。 上場企業のCEOおよびCFOは、SECへの財務報告が正確であり、違反した場合には刑事罰を受ける可能性があることを証明する必要があります。

SOXコンプライアンスの利点

SOXコンプライアンスは、上場企業と一部の非公開企業にも義務付けられています。 ただし、SOXコンプライアンスには、次のような追加の利点もあります。

  • 財務上の可視性: SOXコンプライアンスを実現するには、企業は社内の仕組みと現在の財務状況を詳細に把握する必要があります。 この可視性は、コンプライアンスをサポートし、利害関係者への透明性を高めるだけでなく、組織が潜在的な非効率性を特定し、運用を最適化するのにも役立ちます。
  • データセキュリティ: SOXコンプライアンスでは、財務報告と組織内の財務データの保護の両方が必要です。 SOXの要件を満たすには、企業はサイバー攻撃に対する回復力と保護を強化する保護を導入する必要があります。
  • Simplified Compliance: SOXの対象となる企業は、他の規制も受ける可能性があります。 また、SOXコンプライアンスに義務付けられているセキュリティ管理、プロセス、およびレポートを実装することで、企業は他の規制へのコンプライアンスを達成するための強力な基盤を得ることができます。

SOX コンプライアンス チェックリスト

SOXコンプライアンスを実現するには、次のロードマップに従います。

  1. コンプライアンス要件の特定: SOX規制では、民間組織や特定の部門に適用されるものを含む、いくつかのコンプライアンス要件が定義されています。 法律に基づく組織の責任を理解することは、SOXコンプライアンス戦略を策定するための重要な第一歩です。
  2. コンプライアンスフレームワークを選択します。 COBIT(Control Objectives for Information and Related Technology)、COSO(Committee of Sponsoring Organizations)、ITGI(Information Technology Governance Institute)など、複数の組織がSOXの要件を満たすためのフレームワークと推奨事項をリリースしています。 企業は、SOXコンプライアンス戦略を策定する際にガイドラインとして使用するフレームワークを選択する必要があります。
  3. コンプライアンスの範囲を決定します。 SOXコンプライアンス要件は、財務報告に影響を与える組織の業務のあらゆる側面をカバーしています。 コンプライアンスと監査に備えるために、企業はどのデータ、システム、人員などがコンプライアンスの範囲内にあるかを判断する必要があります。
  4. Perform a Gap Assessment: SOX規制と選択したフレームワークに基づいて、企業は既存の制御、プロセス、および手順を評価する必要があります。 これにより、組織は既存の統制とSOX要件の間の潜在的なギャップを特定できるようになります。
  5. 既存のポリシーとコントロールを文書化します。 ドキュメントは、SOXコンプライアンスの重要な要素です。 企業は、セキュリティ管理を実装することに加えて、SOXコンプライアンスに必要なすべてのポリシーと手順を定義し、明確に文書化する必要があります。
  6. コントロールギャップを埋める: ギャップ評価により、組織の既存のセキュリティ制御とSOX要件の間のギャップが特定された可能性があります。 これらのギャップは、コンプライアンス監査を受ける前に対処する必要があります。
  7. レポートプロセスの定義: SOXコンプライアンスとは、正確な財務報告に他なりません。 会社は、必要な財務報告を効率的かつ正確に生成するように設計されたプロセスを定義する必要があります。
  8. 監査の準備: SOX監査では、必要な管理、プロセス、手順が整っていることを監査人に証明できる必要があります。 監査を受ける前に、組織は必要なデータを収集し、すべてのコントロールが実施され、監査人がアクセスできることを確認することで準備する必要があります。

チェック・ポイントがお手伝いできること

SOX規制は、企業の財務報告データが正確かつ安全であることを保証するように設計されています。 組織のITインフラストラクチャの一元的な可視性と管理は、この2つの目標を達成するための重要な要素です。

Check Point’s Check Point provides セキュリティ コンプライアンス support for multiple regulations, including SOX. With Check Point, companies can quickly and easily implement パブリック クラウドのコンプライアンスとガバナンス, including automated gap assessments and data collection regulatory compliance. To learn more about achieving compliance with Check Point, you’re welcome to 無料デモに申し込む.