米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」 - (page 3)

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ)

2006-06-14 22:45

フェーズI:計画立案と対応範囲の決定
 ITのSOX法対応第一歩は、ステアリングコミッティの一部であるITコントロールサブコミッティの設定から始まる。サブコミッティは、ITのSOX法対応プロセスを監督し、SOX法対応プロセス全体にITの対応を統合、そして、ステアリングコミッティとの意思疎通を図る。そして、リーダーにはプロジェクト実行に必要な権限が与えられると同時に、説明責任も課せられる。

 IT対応計画の策定に当たっては、まず、対応すべき主要アプリケーションとそれをサポートするシステムを判明する。

 それを基にプロジェクト計画を策定し、財務のSOX法対応チームと調整を図る。プロジェクト計画は最終的には財務とITの対応を統合したものとなり、経営者をはじめとするステークホルダー全員の承認を得る必要がある。

 ITコントロールにおける最大の困難は、「アプリケーションコントロール(業務処理統制)に誰が責任を持つのか?」ということである。ITGIが策定した「ITのSOX法対応ロードマップ」には、「ビジネスオーナーは特定のビジネスプロセスの業務処理統制に責任を持ち、IT部門はプロセス所有者がコントロールをテスト・導入することを支援し、全般統制(アクセス制限、変更管理、バックアップなど)が確実に導入され、信頼できるものであることを保障する」と記述されている。

フェーズII:リスク評価
 アプリケーションやそれをサポートするシステム(データベース、OS、ネットワーク、物理的環境)にリスクを管理するために必要なコントロールを導入する。リスク評価でしばしば検討される要素には次のようなものがある。

  • 過去の経験
  • トランザクション量(ワークロード)
  • システムの特徴(高度・複雑/単純)
  • スタッフの技量(有経験者/未経験者)
  • プロセスの形態(集中/分散)

 リスク評価に基づき、ITコントロールチームは対応アプリケーションとサポートするシステムを更新し、プロジェクトの範囲を再調整し、同時にSOX法対応計画全体も更新する。

フェーズIII:コントロールを文書化
 財務報告書の信頼性を脅かすリスクを抑制するために、コントロールを文書化する。コントロールには以下の2つのタイプがある。

  • 自動コントロール:コンピュータによるコントロール(例:自動発注システムに見られる、発注額の制限)
  • マニュアル(ハイブリッド)コントロール:ITを使用しているものの、基本的には手作業によるコントロール(例:コンピュータによる在庫と現物を数えての在庫を照合)

【参考】 業務処理統制と全般統制の関係
 業務処理統制の信頼性を確保するためには「全般統制」が必要である。SOX法が施行された背景には、財務報告書の改ざんがある。こうした詐欺行為は、次のような方法で防ぐことができ、そこではITが重要な役割を果たす。

  • アプリケーションにより役割を分離:アプリケーションにアクセスできるユーザーの権限を定義し、トランザクション処理実行者と承認者の分離をシステムレベルで実行する
  • アクセスコントロール:機密性の高い情報へのアクセスをシステム的に制限する。財務報告書作成チームは情報変更のアクセスを持てない

 コントロールの文書化について特定のフォーマットが指定されているわけではないが、ITGIは、コントロールの文書化について表3のように示唆している。

表3
文書化のレベル内容
企業レベル
  • 企業レベルでのコントロールの文書化
  • 経営者の意見など
活動レベル
  • プロセス並びに関連サブプロセス(フローチャートが効果的)
  • プロセス並びに関連サブプロセスに係るリスクの説明(リスクのインパクトや起こる可能性など)
  • プロセス並びに関連サブプロセスに係るリスクを軽減するためのコントロール目標の説明
  • コントロール目標を実現するためにデザイン、実行されるコントロール活動
  • コントロールの存在と効果を確認(テスト)するためのアプローチを説明
  • コントロールの効果のテスト結果

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

関連キーワード
運用管理

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]