サーベンス・オクスリー法(SOX法)は、企業による詐欺の防止を目的とする米国の法律です。SOXコンプライアンスとは、そのSOX法で求められる財務報告、情報セキュリティー、監査の要件を遵守することです。
SOXに準拠するために、米国で事業を行う公開会社は以下を行う必要があります。
- 財務データを改ざんから守るための内部統制を導入する。
- セキュリティー管理の有効性と財務情報開示の正確性を証明する定期報告書を証券取引委員会(SEC)に提出する。
- 財務諸表と財務管理の年次独立監査に通る。
SOX法は、公開会社を監査する会計事務所や、証券に関する調査結果を発表するアナリストに対する規則も定めています。 また、不正な金融活動やある種のコンプライアンス違反に対して、多額の罰金と刑事罰を科すものです。
SOXは金融規制ですが、コンプライアンスの達成には組織全体の利害関係者が関わります。 複雑な企業ネットワーク内の財務情報を保護するために、組織がテクノロジー・ソリューションにますます目を向けるようになるにつれて、IT部門とサイバーセキュリティー・チームは特に重要性を増しています。
コンサルティング会社Protivitiの2023年レポート(ibm.com外部へのリンク)によると、半数以上の企業が、SOXコンプライアンスに以前よりも時間がかかっていると回答しています。 平均的な組織は、SOXコンプライアンスの取り組みに毎年100万米ドル以上を費やしています。
IBM Security X-Force Threat Intelligence Index を使用して、より迅速かつ効果的にサイバー攻撃に備え、対応するための洞察を得ることができます。
データ侵害コストレポートに登録する
2002年サーベンス・オクスリー法は、Paul Sarbanes上院議員とMichael Oxley下院議員が共同提案した米国連邦法です。 Enron社、WorldCom社、Tyco社の破綻など、21世紀初頭の金融スキャンダルを受けて、連邦議会はこの法律を制定しました。
これらの例に限らずその他の事例でも、公開会社が会計上の抜け穴と明らかな詐欺を組み合わせて価値をつり上げ、投資家に数十億ドルもの損失を与えました。 例えば、Enron社の欺瞞が暴かれたとき、同社の株価は1株当たり90.75ドルからわずか60セントにまで下落しました。
いくつかの事例では、監査を行うはずの外部会計事務所が、企業を補佐していました。 かつて「ビッグ5」会計事務所の1つであったArthur Andersen社は、Enron社とWorldCom社のスキャンダルに関与したため業務を停止しました。
SOXは、組織が財務記録を改ざんから保護する方法について厳格な規制上の義務を定め、監査人を顧客からより独立させることで、企業の不正行為を防止することを目的としています。
この法律は全部で11章からなる包括法案です。 最も重要な影響には、次のようなものがあります。
- 公開会社会計監視委員会 (PCAOB) の創設
- 財務報告要件の強化
- 企業幹部に財務情報開示と財務管理に関する個人的責任を負わせる
- 外部監査役とアナリストの独立性向上
- 内部告発者の保護
SOXによって設立された非営利法人PCAOBは、財務監査基準を設定し、公開会社を監査する会計事務所を規制します。 PCAOBはコンプライアンス違反の疑いのある企業を調査し、個人に対して最大10万ドル、組織に対して最大200万ドルの罰金を科して処罰を行うことができます。
1934年証券取引所法に基づき、一定規模の公開会社はすでに、SECに年次および四半期の財務報告書を提出する必要がありました。 SOXは、これらの報告書に誤解を招くような記述があってはならないと強調しています。 報告書は、一般に公正妥当と認められた会計原則(GAAP)に従って作成される必要があります。GAAPとは米国財務会計基準審議会(FASB)(ibm.com外部へのリンク)によって整備されている一連の基準です。
非連結子会社が保有する負債など、これまで企業が財務報告から除外できた一部の簿外取引も、企業の財務状況に重大な影響を及ぼす可能性がある場合には報告する必要があります。 理性的な投資家が投資決定を再考するきっかけとなる情報は「重要」です。
企業はまた、財務情報に重大な変更があった場合には、ほぼリアルタイムで社会に報告する必要があります。
最後に、企業は内部統制を行って、財務データを内部または外部の関係者による改ざんや不正使用から保護する必要があります。 財務記録を一定期間保存することもその一例です。
SOXでは、最高経営責任者(CEO)、最高財務責任者(CFO)、および同様の役割を果たす会社役員は、財務諸表が真実であり、内部統制の仕組みが有効であることを保証する個人的責任を負います。財務報告書が不正確な場合には、意図的に投資家を欺いたのではないとしても、経営陣は罰金や刑事罰に処される可能性があります。
SOX成立に拍車をかけたスキャンダルの一因は、利益相反にありました。 公開会社の財務諸表を監査する会計事務所が、その同じ企業にコンサルティング・サービスを提供して利益を上げていることがよくありました。 会計士には、クライアントが許容範囲と判断するような監査報告書を作成する動機がありました。そうしなければ、利益の上がる契約を失う恐れがあると感じたのです。
同様に、株式価値を報告するアナリストは、公開会社に投資銀行業務やその他のサービスを提供する組織で働いていることがよくあります。
SOXは、いくつかの方法でこれらの利益相反を排除することを目指しています。 まず、公開会社に経営陣から独立した監査委員会の設置を義務付けています。 この委員会は、独立した監査役を採用してまとめる責任を負います。 SOXでは、組織が監査の結果に影響を及ぼそうとすることも違法としています。
会計事務所は、SOX監査を行っている会社と同じ会社にコンサルティングやその他のサービスを提供することはできず、組織は5年ごとに外部監査役を交代させる必要があります。
証券アナリストは、所属する金融機関の投資銀行部門から独立して業務を行う必要があります。 また、有価証券について報告する際には、利益相反の可能性があれば開示する必要があります。
SOXは、不正行為の可能性を報告した従業員に対して、降格、解雇、停職、嫌がらせ、その他の損害を与えて報復することを違法としています。
SOXは、米国で事業を行うすべての上場企業とその完全子会社に適用されます。 また、証券アナリストや公開会社を監査する会計事務所にも適用されます。
非公開会社や非営利団体は通常、SOXに縛られませんが、いくつかの例外があります。 新規株式公開を準備している非上場企業は、SECに登録届出書を提出する際にSOX法の適用を受ける。 公開会社にサービスを提供する非公開会社の内部告発者は、公開会社クライアントの不正行為を報告する際にSOXによって保護されます。
SOXは、公開会社、非公開会社、非営利組織を問わず、あらゆる組織が連邦捜査を妨害するために財務記録を破棄または改ざんすることを違法としています。
SOXは米国の規制ですが、国外の組織にも影響を及ぼしています。 米国外に本社を置く上場企業が米国で事業を行う場合は、SOX 要件に従う必要があります。 SOX の可決は、カナダの「強い経済のための約束を守る法」(「C-SOX」とも呼ばれる)や日本の金融商品取引法(「J-SOX」とも呼ばれる)など、他の国々も金融詐欺と戦う独自の法律を導入するきっかけとなりました。ソックス」)。
欧州では、SOXコンプライアンスとEU一般データ保護規則(GDPR)コンプライアンスにかなりの重複があることを、多くの人が指摘しています。 特に、SOXコンプライアンスを可能にするのと同じセキュリティー管理とデータ保護プロセスの多くが、GDPRコンプライアンスもサポートしています。 欧州連合は、財務監査役の独立性に関して独自の SOXに類似した規則も導入しています。
基本的にSOXコンプライアンスとは、組織のすべての財務開示が完全に正確であり、組織が財務諸表を裏付けるための管理と文書化を行っていることを意味します。
ただし、SOXコンプライアンスを達成するプロセスは複雑になる場合があります。 SOXは、企業が必要とするすべての統制や監査役が講じなければならないすべての手順を網羅的に説明しているわけではありません。 組織が異なれば、SOXコンプライアンスを達成する方法も異なります。
大まかに言うと、SOXには大きく分けて3つの要件があります。
- 正確な財務報告を企業経営者が認証して提出
- 適切な内部統制の整備
- 定期監査の合格
SOX法302条「財務報告に対する企業の責任」に基づき、企業のCEO、CFO、または同等のリーダーは、SECに提出されるすべての年次財務報告書および四半期財務報告書に署名して承認する必要があります。
CEOとCFOは報告書を承認する際に、財務諸表が完全に正確であることを保証する必要があります。 また、適切な内部統制が整備されており、過去90日以内に有効性が確認されていることを断言する必要があります。
SOX法404条「内部統制の経営者による評価」に基づき、SECに提出されるすべての年次財務報告書には、詳細な内部統制報告書を含める必要があります。内部統制報告書には、経営者が内部統制の責任を持ち、直近事業年度末時点における企業の内部統制の有効性を評価して記載します。
組織は財務状況に重大な変化があった場合には直ちに報告しなければなりません。 サイバーセキュリティー・インシデントはSOXの下では重大な変化と見なされる可能性がありますが、SECが2023年7月に新しい規則を採択し、これらのインシデントに対する報告要件がさらに厳格になった(ibm.com外部へのリンク)ことは注目に値します。
特に、組織はサイバーセキュリティー・インシデントが重大な影響を及ぼした、またはその可能性があると判断してから4日以内に報告する必要があります。 企業は、組織に重大な影響を与える可能性があれば、クラウド・サービスなどのサード・パーティーでのインシデントについても報告する必要があります。
企業はSOX内部統制を整備して、内部および外部の関係者が財務データを不正に変更したり、不正な目的で使用したりすることを防ぎます。
SOXは、企業が導入しなければならないすべての統制を明示的に列挙しているわけではありません。 組織は多くの場合、情報システム監査および制御協会に属する情報および関連技術の制御目標フレームワークなどの企業ガバナンスフレームワークに依存しています。トレッドウェイ委員会組織委員会(COSO)のフレームワークも人気があります。 これらのフレームワークはSOX専用に開発されたものではありませんが、それらが提供する統制スキームは通常、SOXコンプライアンス要件を満たしています。
組織は、事業プロセスと情報技術インフラストラクチャーの両方のレベルで統制を行います。
事業プロセスの統制には、SOX要件に関する従業員のトレーニングや内部告発者のための安全な報告手段の確立などがあります。
多くの企業では、職務分掌(ワークフローを複数の部分に分割し、各ステップに異なる従業員が責任を負うという原則)も適用しています。 その目的は、1人の従業員がワークフロー全体をコントロールするのではなく、関係する各人が他の人をチェックする役割を果たすことです。 典型的な例としては、支払いを承認する人と、会社の口座から小切手を書く人を別にすることなどがあります。
企業は、文書保存に関するSOX要件に準拠するために、記録を保管して維持するプロセスを作成することもできます。 例えば、監査役は監査に関連するすべての作業書類を7年間保存する必要があります。
企業ネットワークが複雑化するとともに、SOXコンプライアンスの取り組みにおいて自動化の重要性が増しています。 Protiviti社によると、平均的な企業にはSOXの要件に該当するビジネス・アプリケーションが36個あります(ibm.com外部へのリンク)。 ITセキュリティー管理は、これらすべてのアプリに対してSOXルールを適用するのに役立ちます。
一部の組織では、専用のSOXコンプライアンス・ソフトウェアを使用して、SOX関連のデータと文書の安全な保存、関連する活動の追跡、内部統制の不一致に対する警告を行っています。 しかし、企業はSOXコンプライアンスの目的に、より一般的なサイバーセキュリティー・ツールを使用することもできます。
データ情報漏洩防止(DLP)ソリューションなどのデータ保護ツールでは、機密データがどこに保存されているか、誰がアクセスし、何を行っているかを追跡できます。 一部のDLPツールでは、ユーザーが財務データに不正な変更を加えたり、不正な場所に移動したりすることをブロックすることも可能です。 組織はまた、データが破壊または改ざんされた場合にも復元できるようにするため、自動バックアップを使用することもできます。
IDおよびアクセス管理(IAM)ソリューションを使用すると、組織は最小権限の原則に従ってきめ細かいアクセス制御ポリシーを設定できます。 従業員には、業務を遂行するために必要な最低限の権限のみが付与されます。 IAMプラットフォームで変更管理を合理化することもできるため、従業員の入社、役割の変更、または退職に応じて、組織はアクセス許可の更新や削除を迅速に行えます。
企業は、セキュリティー情報とイベント管理(SIEM)ソリューションを使用して、ネットワークのアクティビティー監視、セキュリティー侵害の検出、迅速なインシデント対応を行うことができます。 SIEMソリューションはセキュリティー・ログも保存するので、組織がSOX監査中にコンプライアンスを証明するのに役立ちます。 一部のSIEMツールには、SOX特有の機能が組み込まれているか、その機能を備えたツールと統合されており、自動的に関連情報を記録してコンプライアンス・レポートを生成できます。
SOXの情報セキュリティー義務は、組織が財務情報を保管または処理するクラウドのデータセンターにも適用されます。 企業はこれらのデータ・ソースの統制についても検討する必要があります。
上で述べたように、CEOとCFOはすべての財務報告書の正確性と内部統制の有効性を保証する必要があります。 定期的な監査により、幹部はこれらの申告を行うために必要な証拠を得ることができます。
財務報告の実務とデータ管理について定期的に内部監査を実施することで、企業は長期にわたってコンプライアンスを監視し、不一致を特定して、弱点を修正することができます。
内部監査の結果は、外部監査役が年次のSOXコンプライアンス監査を実施する助けにもなります。 年次監査では、独立した会計事務所が独自に、内部統制と財務報告の評価を実施します。 この監査の結果は、多くの場合、会社のSEC年次報告書に含まれています。
これまで監査役は、経営陣による内部統制の評価が正確であると感じるかどうかについて報告する必要がありました。 この要件は、SECが2007年に監査基準第5号(ibm.com外部へのリンク)を採用した際に削除されました。
SOXは、経営者や会計事務所が監査をどのように実施すべきかを厳密に規定していません。 その代わりに、監査役とマネージャーはトップダウン・リスク・アセスメント(TDRA)を使って監査範囲を決定すべきであると、SECは述べています(ibm.com外部へのリンク)。 TDRA は、重大な不正行為のリスクが最も高いアカウント、開示、その他の領域を特定し、それらのリスクに対処する基本的統制の評価に重点を置きます。
SOXに準拠することにはメリットがあります。 投資家は財務情報の開示に自信を持つため、SOX に準拠する企業への投資に前向きになる可能性があります。 SOXはまた、財務諸表に対する個人的な責任を企業リーダーに課すことで、企業リーダーが不正行為を犯すインセンティブを低下させます。
SOXコンプライアンスは、組織がサイバーセキュリティー体制を全体的に改善するのに役立つ可能性があります。 組織が財務上の改ざんを防ぐために使用するデータ・セキュリティー統制の多くは、サイバー攻撃にも対抗できます。 例えば、IAMソリューションはハッカーがユーザーのアカウントにアクセスできないようにするのに役立ち、SIEMツールは進行中のセキュリティー・インシデントを早期に発見するのに役立ちます。
SOXコンプライアンス違反は、組織や個人に対する民事罰および刑事罰につながる可能性もあります。
不正確な財務報告書を承認した幹部には、最高100万米ドルの罰金および最長10年の懲役が科される可能性があります。 また、誤解を招く発言を意図的に承認した経営者には、最高500万米ドルの罰金および最長20年の懲役が科される可能性があります。
組織が財務再報告を行う必要がある場合、幹部はインセンティブに連動した報酬を回収される場合もあります。2022年に採用されたSECの規則(ibm.com外部へのリンク)では、幹部は不正行為で有罪になる必要さえありません。 インセンティブに連動した目標が達成されていないことが再報告によって示されるたびに、回収が自動的に行われます。
SOXでは、財務記録に損害を与えたり、改ざんしたり、その他の方法で妨害したりすることも違法とされています。 このような行為をした従業員は、最長20年の懲役刑に処される可能性があります。 内部告発者に報復した企業役員には罰金と最長10年の懲役刑が科せられます。
SECは、SOX規則に違反した人物が会社役員、取締役、ブローカー、アドバイザー、ディーラーとして働くことを禁止することができます。 重大な違反があった場合、企業は証券取引所から上場廃止になることもあります。
IBM® Security QRadar SIEMコンプライアンス・ソリューションは、SOXを含むほとんどの規制基準に対応するコンプライアンス拡張機能を通じてSIEMログ・データを実行することで、リスクを軽減し、複雑なコンプライアンス要件の管理を支援します。
IBM Security Guardium Insights を使用すると、データがどこに保存されていても保護するソフトウェアを使用して、データ セキュリティーとコンプライアンスへの取り組みを自動化および合理化できます。
IBM独自のUnixオペレーティング・システムであるAIX®は、ハイブリッドクラウドとオープンソースの機能によってイノベーションを促進し、回復力に優れた安全な環境で、コンプライアンスに準拠した最新のアプリケーションを構築、導入できるよう支援します。