ホーム  >  メルマガバックナンバー  >  Ⅴ.IT内部統制  >  第158回「リスク・コントロール・マトリクス」

オープンコース案内

  • 第158回「リスク・コントロール・マトリクス」

    ~ITコンサルタント養成講座~

    皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガで
    IT内部統制を取り上げます。
    日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
    しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
    そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
    このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。

    今回はIT内部統制メルマガの第21回です。
    リスク・コントロール・マトリクス(RCM)とは、重要勘定科目として特定された業務プロセスにおいて、監査基準である財務アサーションの違反を起こす可能性のあるリスクに対して、統制方法、優先度、対処手段等を一覧にした分析表です。業務プロセスにたいする内部統制が適切に計画されていることを監査するために用いられますので、内部統制の文書化には必須です。
    このマトリクスで必要となる記載項目を説明しておきましょう。
    ◆「対象業務」とその業務プロセスで抽出された「業務処理」で財務アサーションに反する「リスク事項」とリスク対策である「統制方法」を記述します。ここまでが第1段階のリスク分析です。
    ◆第2段階ではリスク対策の実施方法を設定します。このリスクの統制方法の「優先度」と統制の「頻度」、対処の手段として「人手/IT化」、“予防的か”又は“事故発生後の対処か”を「予見的/発見的」という項目で区別して一覧表とします。
    こうすることで、内部統制に対するリスク箇所と対策が一望できるリスク表になるわけです。
    このアプリケーション業務プロセスに対するリスク分析は基本的分析を行いますが、
    その他に、
    IT統制のIT業務プロセスに対するRCMも文書化が必要になります。IT統制でのRCMは対象業務が「全社レベル統制」、「IT全般統制」、「アプリケーション統制」に係る業務ですから、業務プロセスでのRCMとは対策が異なる箇所があります。アプリケーション統制は業務に直接関係する事柄ですので、業務RCMと対策は一致することになります。
    従って、IT統制のRCMは「全社レベル統制」と「IT全般統制」の対策事項が統制内容になります。この統制内容はCOBITからの統制方針やITILやISMSからのIT業務規定レベルの対策となります。
    それでは、次回はこれらのIT統制に関する文書をITGIの 「ITガバナンス協会」のガイド資料から取り上げ、要点を説明していきましょう。
    今回はここで終わりです。
    次回は「IT統制に関する必要文書」をテーマに取り上げます。


    (雑感)先週、大学で講座を持っている「プレゼンテーション演習」の秋季コースが終了しました。このコースはDr.ボブ・ボイランのストーリーボードの展開に則って、準備は宿題、数回の発表を課しレビューするOJT形式のちょっときついコースです。全日程は14回のコースなのですが、ほとんど全員が欠席も、遅刻も無く一生懸命やっていました。9割は相当自信を持って社会へ出て行くと思います。“最近の若い者は・・・”などと良く言いますが、基本は真面目に何かに打ち込みたいと思い、悩んでいるのかなと思いました。全日程完走した子供たちの明るい笑顔を見ていると、やって良かったなと思います。
    今の若い者も、私時代の若いときと同じで真面目な子が大半、不真面目小数は変わりないと思いました。


    (注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
    経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
    パッケージです。
    こちらです。 http://e-site-frontier.kir.jp/index-11.html
    (注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
    集」と「ITコーディネータ試験対策コース」を開発しました。
    問題集はこちらを参照 http://www.ism-research.com/book-3.htm
    研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
    (注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
    メルマガの基礎知識の集大成をしました。
    ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
    こちらです。 http://www.ism-research.com/book-1.htm
    (注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
    価格で、カスタマイズした実践的コースを提供します。
    こちらです。 http://www.ism-research.com/course-1.htm
    (注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
    バックナンバー(無料)から入手することができます。
    こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
    (注6)「IT内部統制」の内容をPPTで全て図解し、ノート形式で解説を施しました。
    要点のみを抑えたい忙しいビジネスパーソンや企業のe-ラーニング教材向け
    に作成しています。
    こちらです。 http://www.ism-research.com/book-4.htm
    (注7)小職が実施している主な研修機関の研修コースは以下の通りです。
    ●株式会社 アスキー
    http://ascii-business.com/abiz/itseminar/
    ●グローバルナレッジ(株)
    http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
    ●(株)富士ゼロックス総合教育研究所
    http://www.pm-fxli.com/multi.html
    ●(株)グローバルテクノ
    http://www.gtc.co.jp/semn/isc/itc.html
    http://www.gtc.co.jp/semn/isc/kso.html
    (注8)メルマガの配信停止は次のURLをご参照ください。
    こちらです。⇒ http://www.mag2.com/m/0000118350.html

ページトップへ

サイドメニュー

オープンコース案内