~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。
177回からは、このメルマガで「COBIT4.0」を取り上げています。
COBITとは、Control OBjectives for Information and related Technologyの頭文字をとった
もので、「米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control
Association)が策定し、提唱するITガバナンスのITプロセス成熟度を統制するフレームワーク」であり、システム管理・ガイドラインと言われています。
COBIT4.0は、米国の内部統制とバランススコアカードを組み込んだ内容で再構成されました。COBIT第3版と比べ、内容も大きく変わりました。
COBITは、これからのシステムデザインにも大きく影響してくると思っています。
第3版と比べ、内容も大きく変わりました。このメルマガで、ご紹介していこうと思います。
今日はCOBIT4.0メルマガの第16回です。
今回は、「ITプロセス統制の要件」の中で、COBITの「業務処理統制」の続きを、述べてみようと思います。
(3)「データ処理コントロール」では、3つのコントロール項目があります。
★「AC9 データ処理のインテグリティ」
データ処理手続において職務分離が維持され、実施作業が定期的に確認され、更新コント
ロールが整備されていることが手続として保証されることをいいます。
★「AC10 データ処理の妥当性チェックおよび編集」は、
手続を定め、データ処理の妥当性チェック、認証、および編集を可能な限り、処理直後に行う
こととしています。
★「AC11 データ処理のエラー処理」とは、
エラー処理手続を定め、誤りのあるトランザクションの特定が可能になり、また、不当な処理の
中断も回避できることです。
予防的エラー対処と発生的エラー対処が必要になります。
(4)「データ出力コントロール」では、5つのコントロール項目があります。
★「AC12 出力の処理とコントロール」は、
出力の処理と保持は手続に沿って実施し、プライバシー要件およびセキュリティ要件が考慮
されていることをいいます。
★「AC13 出力の配布」とは、
アウトプットの配布手続が定義、周知、および遵守されることです。
★「AC14 出力のバランス保持と調整」は、
出力は関連する総合コントロールに合わせて定期的にバランスが図られ、監査証跡により
トランザクションの追跡と破損データの補正が可能であることが必要としています。
そのために、ログの記録は必須事項になります。
★「AC15 出力のレビューとエラー処理」は、
手続により、出力報告の正確性に関するレビューの実施が保証され、エラー特定と手続が
保証されることです。エラー発生時のインシデント管理や原因把握のための問題管理等の
仕組みが求められます。
★「AC16 出力報告のセキュリティ確保」とは、
手続により、ユーザーへの配布前後の出力報告のセキュリティ保守が行われていることが保証
されることです。 特に配布後の処置に対するセキュリティの確保手続きが必要です。
(5)境界におけるコントロール
このコントロールは、自社管理下以外の外部企業等との情報のやり取りにおける統制です。
★「AC17 真正性とインテグリティ」とは、
組織の外部で作成された情報について、 重大な処理を行う前に、情報媒体の真正性と
インテグリティを検証することです。真正性とは、偽りでないことをいい、責任と媒体が
本物であることに認証があり、インティグリティとは、正確性と網羅性を含めた意味があります。
つまり、処理するファイルのデータ等が処理対象として正しいデータであり、データが正確で
もれなく処理されるように統制できることです。
★「AC18 送信中や移送中の機密情報の保護」は、
送信時および移送時における不正なアクセス、改変、および宛先間違い等からの機密情報
が十分に保護されることです。
以上の項目は、経産省の「システム管理基準 追補版」の追加付録がサンプル付で平成19年10月16日に公示しました。IT業務処理統制の統制項目のサンプル記述があります。COBITを参照していることが良く分かります。参考になりますのでご案内します。
こちらです。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207037&OBJCD=&GROUP=
今回はここで終わります。
次回は、「IT成熟度モデル-その1」で、COBIT4.0のIT成熟度全体像と一般成熟度モデルを解説します。
(雑感)先週、「Biz Innovation2007」に出てきました。今内部統制はどんな指導をしているのだろう
か?と言うことを知りたくて行きました。お目当ては、新日本監査法人のパートナーの話でした。
内部統制の有効性を取り上げたテスティングフェーズの話でした。かなり、厳しい内部監査体制や
手続を求められていました。また、これから社員に向けての研修とCOBITにあるビジネス目標を
目指したITガバナンスが求められる。と言うのが主旨でした。
私にとっては、非常に参考にはなりましたが、かなり余裕のある上場企業に向けた内容かなと
思いました。 日経産業新聞(10月22日)によると、このフェーズにあるのは、14.8%のみ、8割整
備まで含めて5割弱だそうです。
少しずつ、ITガバナンスが浸透してきているようです。先週、大手のITメーカーの中堅幹部
に弊社研修を実施してきました。熱心でした。
このコースです。http://www.ism-research.com/course-3.htm
IT内部統制研修には、次のコースをご活用ください。
http://www.ism-research.com/course-6.htm
(注1)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注2)「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
で実施します。
詳細は次のURLのご参照をお願いいたします。
◆IT経営研修コース:http://www.ism-research.com/course-1.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付き
コースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4) 「IT内部統制実践知識修得コース」を実施しています。
詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発・実施しています。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎
知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「IT経営のための経営研修コース」のオンサイト研修を実施しています。
適正な価格(市価の半値以下)で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/ksb.html
http://www.gtc.co.jp/index.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html