ホーム  >  メルマガバックナンバー  >  Ⅴ.IT内部統制  >  第156回「IT内部統制の記載要求事項」

オープンコース案内

  • 第156回「IT内部統制の記載要求事項」

    ~ITコンサルタント養成講座~

    皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
    日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
    しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
    そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
    このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。

    今回はIT内部統制メルマガの第19回です。
    ITGI(ITガバナンス協会)のガイドによれば、IT内部統制の文書化に関しては特定の形式が定められているわけではなく、記載の要求事項があるだけです。
    従って、企業はこの要求事項を満たした文書を作成する必要があります。内部統制に関しては、全社レベルと業務レベルに分けた統制記述ガ要求されています。
    ◆全社レベルの統制記述では、基本構成要素に対する連結子会社を含めた統制の方針や進め方に関する文書、統制に関する調査や質問の実績記録が必要ですし、そしてその記録を継続的で定性的に報告を保証できるツールや手法の活用が必要です。
    ◆業務レベルの統制記述では、業務フローチャートの記載、プロセス又はサブプロセスに関連したリスク記載、リスク対応とCOSOフレームワークへの整合性の記載、業務プロセスに対して実施された統制活動の記載、そのための手法、そして統制の有効性についての結論を記載します。
    以上の文書化対応が必要になるわけです。
    記載事項をもう少し具体的にみていきましょう。
    全社レベルの統制はIT統制の全社レベル統制での「統制環境」がそれに該当します。それはCOBITの4つのドメイン(企画・計画と組織、調達と開発、運用と支援、モニタリング)に対するIT業務プロセスに対する方針記述が必要となります。この文書は業務プロセスのリスク分析を基に作成されることになります。リスクとは財務アサーションに対する違反リスクです。IT組織構造にはIT化のプロジェクト組織と運用組織記述が必要であり、モニタリングはIT統制としての実施方針に沿った記録、報告が必要となります。
    すなわち、
    ◆ITガバナンスプロセスに関しては、
    ITシステムの戦略的計画、ITリスク管理プロセス、コンプライアンスおよび規制管理。
    IT化方針、手続、及び基準、そしてITの組織構造などが必要です。
    ◆モニタリングおよび報告に関しては、 ITが事業要件に沿ったものであることを確実にすることと記述されています。
    米国SOX法の場合、CSOにある内部統制の目的が全て対象になりますが、日本版SOX法ではその目的の中で「財務報告の信頼性」に焦点が当りますので、「財務アサーションに沿ったものであることを確実にすること」と解釈してよいでしょう。
    今回はここで終わりです。
    今年のメルマガはこの回で終わります。来年は1月15日から開始します。
    来年はこのテーマの続きでIT内部統制として求められるIT全般統制の文書化を取り
    上げましょう。「IT内部統制の全般統制記載要求事項」としてテーマに取り上げ
    ます。
    今年も一年間、ご愛読いただきありがとうございました。来年も皆様にとって良い年であることを
    祈念いたします。


    (雑感)先週、上海へ母と愚妻を連れて行きました。昔から中国経済の最先端都市の上海を一度見てみたいと思いもあり観光を兼ねて訪ねました。高層ビルや高速道路の建築ラッシュが続いていて町は喧騒のど真ん中でした。交通も右側交通は決まっていますが、自動車増加に対する対策が遅れ、信号無視や無理な突き込みで危険な限り。ガイドは“勇気のないドライバーは運転できない”といっていました。スモッグもすごい状態で日本の30年前の高度成長期を思い起こしました。標準語は北京語が10年前から学校にも取り入れられたようです。上海で月給15万円ですと高級取りのビジネスマン、10万円は普通ということ。日本の年平均給与所得が480万円ですので、1/3から1/4でしょう。まだ、主要企業や主要消費財の百貨店等は国の資本でした。店内は日本で言う公務員が一杯ですが、お客はほとんどいない。都市全体をみた感じでは、を見ると停滞と成長、貧困と富裕、無秩序が極端に現れ、成長途上の町でした。話だけでは分からないという勉強をさせてもらった旅でした。


    (注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
    経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
    パッケージです。
    こちらです。 http://e-site-frontier.kir.jp/index-11.html
    (注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
    集」と「ITコーディネータ試験対策コース」を開発しました。
    問題集はこちらを参照 http://www.ism-research.com/book-3.htm
    研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
    (注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
    メルマガの基礎知識の集大成をしました。
    ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
    こちらです。 http://www.ism-research.com/book-1.htm
    (注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
    価格で、カスタマイズした実践的コースを提供します。
    こちらです。 http://www.ism-research.com/course-1.htm
    (注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
    バックナンバー(無料)から入手することができます。
    こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
    (注6)小職が実施している主な研修機関の研修コースは以下の通りです。
    ●株式会社 アスキー
    http://ascii-business.com/abiz/itseminar/
    ●グローバルナレッジ(株)
    http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
    ●(株)富士ゼロックス総合教育研究所
    http://www.pm-fxli.com/multi.html
    ●(株)グローバルテクノ
    http://www.gtc.co.jp/semn/isc/itc.html
    http://www.gtc.co.jp/semn/isc/kso.html
    (注7)メルマガの配信停止は次のURLをご参照ください。
    こちらです。⇒ http://www.mag2.com/m/0000118350.html

ページトップへ

サイドメニュー

オープンコース案内