~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第22回です。
IT統制ではITの「全社レベル統制」、「全般統制」、「アプリケーション統制」が求められました。そのための文書化が必要になります。ITGI(ITガバナンス協会)のガイドラインではそれぞれの統制に必要な文書を紹介していますので、その概要を解説しましょう。
参考:ガイドラインURL
http://www.itgi.org/Template_ITGI.cfm?Section=Information_Technology1&CONTENTID=24230& TEMPLATE=/ContentManagement/ContentDisplay.cfm
(1)ITの全社レベル統制:全社レベルですのでIT業務に関する連結子会社を含めた統制です。ITガバナンス方針を文書化するために、「全社レベル質問書」をリファレンスとして提供しています。この質問書をみますと、IT統制の「統制環境」の分野に関する質問はCOBITの「企画・計画と組織」、「モニタリング」ドメインを中心にIT統制に関係するIT業務プロセスに付いての質問事項が作成されており、ITガバナンス方針に対するチェックリストとなっています。
(2)IT全般統制:IT全般統制に係るCOBITの業務プロセス規定の例をリファレンスとして紹介しています。IT業務プロセスの「統制目標」、統制目標に対する「根拠理由」、「統制事項」、「統制内容」の構成の記述文書が必要であるとして記述しています。COBITでの対象ドメインで言えば、「調達と開発」、「運用と支援」で、IT全般統制に係る全てのIT業務プロセスに対して作成されています。
この内容は、IT業務規定の例と考えても良いものです。ITGI のガイドではこの例を基に各企業にあった文書記述を推奨しています。
要求事項の「実在性(記録)」について記述する場合も、この形式に沿って実施報告を記載すればよい形式で作成されています。この規定の下位構造に当る詳細規定やルール、手順等はITILやISMSを用いて記述すれば適切な文書となります。
(3)アプリケーション統制:この統制は業務に組み込まれたアプリケーションプログラムに対する統制でした。この文書化の基点になるのは、対象業務とその業務処理における監査基準である「財務ア
サーション」です。そのために、プログラムに統制目標である「データの網羅性」、「データの正確性」、「データの正当性」、「ファイルの維持継続性」といった4つの統制目標を設定し、処理の信頼性を求めています。処理の統制文書です。この処理統制の記述視点は、「データ入力」、「データ処理」、「データ出力」を中心に「データ作成・維持」の作業で統制するための文書を作成する必要があります。
今回はここで終わりです。
次回は「IT内部統制の文書化体系」をテーマに取り上げます。
(雑感)今月、1月19日に経産省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」に対する意見公募要領が公表されました。IT統制に対するパブリックコメント(公開意見)のための公表でこれを受けて正式版が発表されるはずです。内容を見ますと、このメルマガで行ってきたIT統制の分類は同じでした。言葉は「IT全社的統制」、「IT全般統制」、「IT業務処理統制」となっていました。このメルマガでは「全社レベル統制」、「IT全般統制」、「アプリケーション統制」として記述していましたので、置き換えて考えていただければ良いと思います。ITGIの翻訳版ではIT全般統制とアプリケーション統制は明記しているのですが、全社レベル統制は明記が無くて当方で勝手に命名していました。今回の経産省の発表の分類と符合し、ほっとしました。
(注1)「ズバリ!経営戦略立案ソフト」を開発し、発売開始しています。
経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
パッケージです。
こちらです。 http://e-site-frontier.kir.jp/index-11.html
(注2) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらを参照 http://www.ism-research.com/book-3.htm
研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
(注3) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです。 http://www.ism-research.com/book-1.htm
(注4)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです。 http://www.ism-research.com/course-1.htm
(注5)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー(無料)から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注6)「IT内部統制」の内容をPPTで全て図解し、ノート形式で解説を施しました。
要点のみを抑えたい忙しいビジネスパーソンや企業のe-ラーニング教材向け
に作成しています。
こちらです。 http://www.ism-research.com/book-4.htm
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
(注8)メルマガの配信停止は次のURLをご参照ください。
こちらです。⇒ http://www.mag2.com/m/0000118350.html