~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第10回です。
今日はCOBIT を取り上げようと思います。というのは、そこで、PCAOB(公開会社会計監視委員会)がCOSOのフレームワークとIT統制に関してCOBITを推奨しました。そのため、IT内部統制はCOBIT を中心に進むこととなりました。“COBITとは何であろうか?”そこから話を整理してみようと思います。
【COBITとは】
COBITは“ITガバナンス”という用語が普及する原点となったシステム管理・ガイドラインです。
情報システム活用の仕組みの策定や情報システムのセキュリティの監査などを実施する専門家の団体であるISACA(Information Systems Audit and Control Association 情報システム監査コントロール協会)が策定したガイドラインであり、その目的を「CSOまたはCIOが組織のITガバナンス能力を内部統制するために作成された成熟度モデル」としています。その内容は、
★内部統制に必要な34の測定のためのIT業務プロセスを定義し、
★内部統制するための組織が自分自身識別する業務遂行能力次元を定義しています。
COBITではITガバナンスを成し遂げる構成要素は「7つの情報規準」、「5つのIT資源」、「4つの管理プロセス」の3要素からなるという。
「7つの情報規準」とはITガバナンスの達成度を測定するための情報システムに対する目標です。経営活動にとって有効な情報を提供する目標である「有効性」、IT化による合理化目標としての「効率性」、必要な人に必要な情報を提供できる「機密性」、提供される情報が正確なデータであることを保証する「完全性」、いつでもどこでも使えるための「可用性」、法令・規制を遵守する「準拠性」、そして処理の確実性を保証する「信頼性」をいい、この7つの規準をITガバナンスの目標としています。目標には達成するための対象が必要となります。その対象を「5つのIT資源」とした。IT化を推進するスキルを有する「人間」、IT化された「業務システム」、オペレーティングシステムや通信技術等の「技術」、情報システムを稼動するためのITの「設備」、業務システム遂行のためのマスターやトランザクションデータの「データ」の5つのIT資源を挙げました。この5つのIT資源は業務で管理せざるを得ません。この業務を「4つの管理プロセス」として管理業務プロセスを定義したのです。その業務には情報システムを構築・運用していくプロセスが対象になります。IT戦略を立て、プロジェクト組織を運営・管理する「企画・計画と組織」プロセス、IT環境の調達と開発の実施を管理する「調達と開発」プロセス、情報システムのサービス提供と運用の支援を管理するIT業務を「デリバリーと支援」プロセスと定義しました。そして、このIT業務プロセスの実施の有効性を評価し改善策をとる「モニタリング」プロセスです。お分かりのように、COBITはIT化とIT運用のための内部統制の業務とそのプロセスを定義し、その成熟度を高めることでITガバナンスを確立することが出来るといっています。
将に、IT化とIT運用に対する内部統制の仕組みをCOBITは作っていたことになります。
PCAOB(公開会社会計監視委員会)がIT統制に関してCOBITを推奨する所以です。
米国のITGovernance Instituteからは「サーベインズ・オクスリー法(企業改革法)遵守のためのIT 統制目標」としてCOBITを中心としたIT内部統制の実施ガイドが発表された。今秋、発表予定の金融庁の内部統制の実施指針もこのガイドを基に作成されるようです。
今回はここで終わります。
IT統制の方針づくりはCOBITを中心としますが、全てにわたって適用できるわけでは有りません。ISO等の標準にはCOBITの業務プロセス規程よりより詳細で具体的な統制をガイドしているものがあります。IT環境の状況でその判断をすることが必要です。
次回は「日本版SOX法と各世界標準の位置づけ」をテーマに取り上げます。
(雑感)現在、「ズバリ!経営戦略立案ソフト」の共同制作をしたITCの佐伯氏と組んで販売、指導活動をしています。佐伯氏は“ITサエキ”という呼び名でITコーディネータの方の間には知られている方です。今日、彼の話題を上げましたのはメルマガを使った販売のすごさをご紹介しようと思いました。このソフトをアスキー社や研修会社のグローバルテクノ社等を介して、販売しようと仕組みを作りましたが、それほど定着しませんでした。しかし、佐伯氏のメルマガの力を借りるとあっという間にそのような仕組みの販売力を上回ってしまいます。インターネットの世界では、良いコンテンツさえあれば、個人で大会社のチャネルを意図も簡単に構築できることガ分かりました。メルマガのマーケティング技術は、これはじっくり勉強したが良いと思っています。
ITサエキサイトです。 http://e-site-frontier.kir.jp/index-11.html
(注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
パッケージです。
こちらです。 http://e-site-frontier.kir.jp/index-11.html
(注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらを参照 http://www.ism-research.com/book-3.htm
研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
(注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです。 http://www.ism-research.com/book-1.htm
(注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです。 http://www.ism-research.com/course-1.htm
(注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー(無料)から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注6)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
(注7)メルマガの配信停止は次のURLをご参照ください。
こちらです。⇒ http://www.mag2.com/m/0000118350.html