ITコントロールに言及していないCOSOフレームワーク
SOX法に対応するに当たり、トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organizaiton of the Treadway Commission)が策定したフレームワークや情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が定めたITガバナンスの成熟度を測る手法である「COBIT(Control Objectives for Information and related Technology)」などがフレームワークとしてしばしば利用されている。COSOはビジネスプロセスのリスク測定、コントロール活動、コミュニケーションやモニタリングのガイドラインとして、COSOフレームワークを策定した。しかし、COSOはITコントロールには言及していないため、COSO標準に基づいて、COSOをIT部門が取るべき行動に「翻訳」したものがCOBITである。COBITは以下のドメインに焦点を当てている。
- 計画と組織化(Plan and Organize):IT戦略企画と情報アーキテクチャ、リスク査定、プロジェクト管理、人的資源管理、技術指針の決定など
- 調達と導入(Acquire and Implement):自動化ソリューションの検証、テクノロジインフラストラクチャとアプリケーションソフトウェアの調達と変更管理
- デリバリとサポート(Delivery and Support):サービスレベルを定義・管理、パフォーマンスとキャパシティを管理、システムセキュリティの保証、問題とインシデントを管理
- モニタリングと評価(Monitor and Evaluate):ITパフォーマンスのモニタリングと評価、内部統制のモニタリングと評価、外部監査
2004年4月、ISACAの下部組織であるITガバナンス研究所(ITGI:IT Governance Institute)は「SOX法のためのITコントロール目標(IT Control Objective for Sarbanes-Oxley)」を発行し、企業によるITのSOX法対応のためのガイダンスを示している。詳細はITGIのサイトからダウンロードできる。
IT部門のSOX法対応プロセス
では実際のIT部門のSOX法対応プロセスの詳細を見てみよう。財務に関する対応プロセスと同様、IT対応プロセスも、さまざまなコンサルティング企業が独自のプロセスを提唱している。しかし、共通して見られるプロセスには表2のようなものがある。
| フェーズ | 内容 | 説明 |
|---|---|---|
| I | 計画立案と対応範囲の決定 | SOX法対応の対象となるアプリケーション、インフラストラクチャ、データベースを特定 |
| II | リスク評価 | ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを評価 |
| III | コントロールを文書化 |
|
| IV | コントロールデザインと実行効果の評価 |
|
| V | 欠陥を測定・修正 | ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを考慮し、欠陥の優先付けを行う |
| VI | 継続性 |
|
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。
関連情報
-
日立システムアンドサービス、内部統制支援ソリューションの提供を開始
日立システムアンドサービスは、企業の内部統制整備支援に特化したソリューション体系「内部統制支援ソリューション」を発表した。 - SAPジャパンとプロティビティ ジャパン、日本版SOX法対応に向けて協業
- ISID、STRAVISの内部統制オプションを発表
- 日本コンピュウェア、日本版SOX法対応のIT業務向けソリューションを来春発売
- ITR、日本版SOX法に対応したITマネジメント成熟度評価サービスを販売開始
- サン、コンプライアンス対応をシステム化するソフトウェアを販売開始
- 日立情報システムズ、日本版SOX法を想定した内部統制支援サービス
- MS、内部統制構築に対応した文書作成の支援サイトを公開
- 日立、日本版SOX法への対応支援サービス「内部統制再構築ソリューション」
- 日本ステレント、米国SOX法対応ソリューション「Stellent Sarbanes-Oxley Solution 7.6」を発表
- 日立情報、内部統制ソリューションを提供開始
- 日本オラクル、自社での内部統制の実績を企業に提供する新アーキテクチャを発表
- NEC、日本版SOX法に対応した「内部統制強化ソリューション」を販売開始
- シマンテックが業務アプリのセキュリティ対策コンサルを開始--「日本版SOX法で必要とされる」
- NEC、アウトソーシング事業を強化--2008年に売上高1500億円
「セキュリティ」 の新着情報
-
出生率アップにまでつながったMSのデジタルデバイド解消プログラム
マイクロソフトのデジタルデバイド解消に向けたプログラムに最初に取り組んだ大分県では、ユニークな子育て支援プログラムを... - ゴルフダイジェスト・オンラインに不正アクセス--個人情報漏洩は「事実ない」
- データドメイン、非重複化技術を搭載したバックアップストレージの最上位機種を発売
- 米ヤフー、Zimbraのパスワード流出問題を修正へ
- NECとエントラストが協業:WebSAMオフィスとEntrust IdentityGuardを連携
- セキュリティ 一覧へ »
「ITマネジメント」 のバックナンバー
-
国土交通省、全日空にシステム障害の再発防止を求める
全日本空輸(ANA)の国内線旅客搭乗関連システムが9月14日に障害を起こし、多くの便が欠航、遅延したことに関し、国土交通省は16日、再発防止を求めた。 -
グーグル、ビジネス用途を中心に「Google Calendar」を改良
-
KDDIウェブコミュニケーションズ、企業の成長に合わせて無駄なく拡張可能なVPSホスティング
-
MS、仮想化に関する製品ライセンスポリシー改定--柔軟な稼働環境とサポート拡大を実現
-
夏休みこそ英語学習! 一気に読みたいオススメ記事
- ITマネジメント 一覧へ »
ZDNet Japan Essential Topic
-
【今注目のIT企業は何を考える…??】
オススメIT系求人情報も毎週月曜日更新! -
コラボレーション基盤特集
Notes置換とバージョンアップの情報はこちら
企画特集
-
グリーンITの第一歩は見える化です
経営・財務・情報システムの3つの視点から環境対応を考える -
KDDI「SaaSソリューション」
〜社内コミュニケーションの課題への解決策とは〜 -
エンタメCGM「gooメーカー☆メーカー」
【第1回】開発者に訊く!各機能と開発の狙いとは -
ZDNet Japan Green IT
サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ! -
Techno Exchange
RackableとCTCの地球にやさしい関係 -
これからの時代のセキュリティ対策
くるぞ!in the cloudソリューション -
なぜ社内文書は無秩序に分散するのか?
真の文書管理を考える3か条に迫る!
ZDNet Japan イベント
- 開催日:2008年10月23日(木)
- イベント一覧へ»
