SOX法404条要求事項、適用除外、コンプライアンス・チェックリスト

SOX法404条とは何か？

SOX法404条は、2002年に制定された米国企業改革法（Sarbanes-Oxley Act of 2002）の一部であり、企業の財務諸表の正確性と信頼性を確保することを目的としている。同法は、上場企業に対し、財務報告の完全性を守るための適切な内部統制の構築、維持、評価を義務付けている。同条項は、経営陣および外部監査人に対し、財務報告に係る内部統制の有効性について報告することを義務付けている。

SOX法404条の主な目的は、企業の財務慣行における透明性と説明責任を促進することにより、投資家の信頼を回復することである。この条項の遵守により、企業は財務プロセスを文書化し、コントロール・ギャップを特定し、是正措置を実施し、年次財務報告プロセスの一環としてこの活動を開示することが求められる。これにより、金融詐欺や虚偽記載の可能性が減少し、最終的に投資家が保護され、市場の安定性が高まります。

SOX 404は財務報告プロセスにどのような影響を与えるか？

SOX法第404条は、企業に内部統制の実施、文書化、定期的な評価を義務付けることにより、財務報告プロセスに大きな影響を与えます。各企業の年次財務報告書には、財務報告に係る内部統制に関する報告書を記載しなければならない。

企業は、収益や調達などすべての財務プロセスを特定し、正確な報告を保証するための統制を設定しなければならない。これには、会社の業務に応じた統制を設計し、重要な差異に対する閾値を設定し、統制が有効であることを証明する文書を管理することが含まれる。

さらに、SOX法404条はコーポレート・ガバナンスの強化を推進している。財務報告と統制活動を監督する独立した監査委員会の設置により、説明責任がより確実になる。その結果、監査による調整が減少し、財務諸表に対する信頼性が向上し、投資家と経営者に利益をもたらす。強力な内部統制は、不正行為の可能性をさらに低下させる。

SOX法404条の主要項目

第404条(a)

第404条(a)では、すべての上場企業の経営陣は、財務報告に係る内部統制(ICFR)の有効性を毎年評価し、報告することが義務付けられている。この評価は、財務報告における誤りや不正を防止するための統制の運用上の有効性に焦点を当てたものである。その結果は、会社の年次提出書類（Form 10-K）に開示される。

第404条(b)

404(b)項では、外部監査人が財務報告に係る内部統制を独立的に評価することを求めている。これにより、404(a)に基づく経営陣の評価が正確であることが保証される。監査人は、会社の監査報告書に含まれるこれらの統制の有効性に関する意見を提供します。公開会社会計監視委員会(PCAOB)は、監査人がこのレビューをどのように行うかについての基準を定めている。

第404条(c)

404(c)項は、非加速申告企業や新興成長企業(EGC)のような特定の中小企業に対し、404(b)項の監査人による認証要件を免除するものである。これらの企業は、一般的に株式公開額や売上高が低いため、404(a)にのみ準拠する必要があり、統制に関する外部監査の負担から解放される。

エキスパートからのアドバイス

スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。

私の経験から、SOX法404コンプライアンスにうまく対応するためのヒントを紹介しよう：

内部統制の自動監視ツールの活用：自動化されたソリューションは、内部統制を継続的に監視し、リアルタイムで逸脱にフラグを立てることができる。これは、人手による監視では重要な詳細を見逃す可能性がある、大量の取引に特に有効です。

主要な財務リスクを戦略目標にマッピング：内部統制がコンプライアンスを満たすだけでなく、会社の戦略的財務目標に沿ったものであることを確認する。これにより、統制がリスクに焦点を当てたものとなり、単なるコンプライアンスを超えたビジネス価値を提供することができる。

リスクベースのテストスケジュールの策定：リスクプロファイルに基づいて、コントロールテストの優先順位を決める。重大な財務リスクに関連するコントロールは、より頻繁に厳格にテストする必要がある一方、低リスクのコントロールは、テスト頻度を少なくすることで、労力とコストの両方を最適化することができる。

監査前「予行演習」の実施：正式な外部監査を模擬した監査前レビューを実施する。この「予行演習」は、外部監査人が評価を実施する前に、ギャップや問題点を特定するのに役立つ。

統制上の不備に対する正式な改善プロセスの維持：統制上の不備に迅速に対処するための、文書化された反復可能なプロセスを開発する。これには、根本原因分析、是正措置計画、およびタイムラインを含め、問題がより大きなリスクになる前に解決されるようにする。

SOX法404に準拠しなければならない者と免除される者

SOX法404条への準拠は、その子会社や米国証券取引所に上場している外国企業を含む、米国内のすべての上場企業に義務付けられている。これらの企業は第404条(a)と第404条(b)の両方を遵守しなければならず、経営陣と外部監査人は財務報告に係る内部統制(ICFR)の有効性を評価する必要がある。

非加速申告会社（株式公開額が7,500万ドル未満の会社）や新興成長企業（EGC）のような特定の中小企業は、第404条(b)で要求される監査人の認証が免除される。EGCは、年間総収入が12億3,500万ドルを超えないか、10億ドルを超える非転換社債を発行しないことを条件に、新規株式公開（IPO）後5年間は免除される。

さらに、株式公開額が2億5,000万ドル未満の小規模報告企業（SRC）は、年間売上高が1億ドル未満であれば免除される。非上場企業や非営利団体は、一般的にSOX404に準拠する必要はないが、事業上のニーズや第三者機関の要求に応じて、同様の内部統制を導入することが奨励される場合がある。

SOX 404対応チェックリスト

1.認知されたフレームワークを採用する

SOX 404への準拠を達成するためには、認知されたフレームワークを採用することが有益である。COSO（Committee of Sponsoring Organizations）のようなフレームワークは、内部統制を設計、実施、評価するための構造化されたアプローチを提供する。これらのフレームワークは、統制手段の一貫性と徹底性を確保するのに役立つ標準化されたガイドラインを提供する。

認知されたフレームワークを使用することにより、コンプライアンス・プロセスが簡素化され、効果的な統制を確立するための明確なロードマップが提供される。また、社内の利害関係者と社外の監査人の双方にとって、内部統制プロセスがより理解しやすく、検証しやすくなる。このようなフレームワークを採用することで、内部統制システムの全体的な有効性が高まり、コンプライアンスへの取り組みの信頼性が高まる。

2.内部統制の確立

内部統制の確立は、SOX法404の遵守に向けた基本的なステップである。企業は、財務報告プロセスにおいて特定されたリスクを効果的に軽減する統制手段を設計し、実施しなければならない。これらの統制は、財務取引のすべての重要な側面をカバーし、正確性、完全性、信頼性を確保しなければならない。

コントロールを確立したら、それを綿密に文書化することが不可欠である。この文書化には、各統制の目的、方法論、適用範囲を記述する必要がある。詳細な文書化により、統制状況の明確なマップが得られ、内部チームや外部監査人による評価が容易になる。

3.ドキュメンテーションの作成と維持

SOX 404に準拠するためには、徹底した文書の作成と維持が極めて重要である。この文書化は、内部統制手続のあらゆる側面を把握し、その設計、実施、テストや監査の結果を詳述するものでなければならない。適切な文書化は、監査やレビューの際にコンプライアンスを証明するために不可欠である。

文書化は継続的であるべきであり、プロセス、システム、または管理の変更を反映するために定期的に更新されるべきである。これは、過去の記録であり、現在及び将来の評価のためのガイドとなる。整備された文書化は、監査プロセスを簡素化し、見落としリスクを低減し、すべての内部統制が明確に理解され、組織全体に効果的に伝達されることを保証する。

4.内部統制のテスト

内部統制の定期的なテストは、SOX法404条への準拠を維持する上で極めて重要である。テストには、統制が意図したとおりに機能していることを確認するために、統制の設計と運用の有効性を評価することが含まれる。これには、手作業によるレビュー、自動化されたテスト手順、ギャップや弱点を特定するための財務プロセスのウォークスルーなどが含まれる。

テストは定期的に実施されるべきであり、その頻度は、統制のリスクレベルによって決定される。高リスクの領域は、低リスクの領域と比較して、より頻繁かつ強力なテストが必要となる場合がある。統制環境の完全性を維持するために、これらのテスト結果は文書化され、特定された不備は速やかに対処されるべきである。

5.財務監査との統合

財務監査プロセスとの統合は、効果的なSOX404コンプライアンスに不可欠である。内部統制は、より広範な財務監査要件とシームレスに整合し、両者の活動が互いにサポートし合うようにしなければならない。この連携は、財務報告リスクをより効果的に特定し、対処することに役立ち、その結果、より信頼性の高い財務諸表を作成することができる。

内部統制評価と財務監査の連携は、監査人が十分に文書化されテストされた統制を信頼することができ、監査の範囲と期間を短縮できるため、効率性も促進する。このような統合により、すべての財務リスクと統制を包括的にカバーしながら、事業運営への混乱を最小限に抑えることができる。

Exabeam SOCプラットフォームによるSOX法コンプライアンス

SOX法コンプライアンスに関しては、規制の要件を理解することは戦いの半分に過ぎない。コンプライアンスを効果的に達成するには、適切なテクノロジー・スタックが必要です。適切なデータを収集し、SOX法規制が要求するセキュリティ管理と対策を設定するのに役立つツールは、コンプライアンスを迅速に達成し、組織のリスクを軽減するのに役立ちます。

次世代SIEMおよびXDRのリーディングカンパニーとして、Exabeam Fusionは、脅威の検知と対応のためのクラウド型ソリューションを提供しています。Exabeam Fusionは、行動分析と自動化を組み合わせ、脅威を中心としたユースケース・パッケージで、成果を出すことに重点を置いています。組織の全体的なセキュリティプロファイルを向上させ、SOX法などの規制へのコンプライアンスを維持するための体制を整えることができます。

• 個人データ、GDPRに準拠
• PCIコンプライアンスクイックガイド
• HIPAAコンプライアンス基準とは？