米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」
フェーズI:計画立案と対応範囲の決定
ITのSOX法対応第一歩は、ステアリングコミッティの一部であるITコントロールサブコミッティの設定から始まる。サブコミッティは、ITのSOX法対応プロセスを監督し、SOX法対応プロセス全体にITの対応を統合、そして、ステアリングコミッティとの意思疎通を図る。そして、リーダーにはプロジェクト実行に必要な権限が与えられると同時に、説明責任も課せられる。
IT対応計画の策定に当たっては、まず、対応すべき主要アプリケーションとそれをサポートするシステムを判明する。
それを基にプロジェクト計画を策定し、財務のSOX法対応チームと調整を図る。プロジェクト計画は最終的には財務とITの対応を統合したものとなり、経営者をはじめとするステークホルダー全員の承認を得る必要がある。
ITコントロールにおける最大の困難は、「アプリケーションコントロール(業務処理統制)に誰が責任を持つのか?」ということである。ITGIが策定した「ITのSOX法対応ロードマップ」には、「ビジネスオーナーは特定のビジネスプロセスの業務処理統制に責任を持ち、IT部門はプロセス所有者がコントロールをテスト・導入することを支援し、全般統制(アクセス制限、変更管理、バックアップなど)が確実に導入され、信頼できるものであることを保障する」と記述されている。
フェーズII:リスク評価
アプリケーションやそれをサポートするシステム(データベース、OS、ネットワーク、物理的環境)にリスクを管理するために必要なコントロールを導入する。リスク評価でしばしば検討される要素には次のようなものがある。
- 過去の経験
- トランザクション量(ワークロード)
- システムの特徴(高度・複雑/単純)
- スタッフの技量(有経験者/未経験者)
- プロセスの形態(集中/分散)
リスク評価に基づき、ITコントロールチームは対応アプリケーションとサポートするシステムを更新し、プロジェクトの範囲を再調整し、同時にSOX法対応計画全体も更新する。
フェーズIII:コントロールを文書化
財務報告書の信頼性を脅かすリスクを抑制するために、コントロールを文書化する。コントロールには以下の2つのタイプがある。
- 自動コントロール:コンピュータによるコントロール(例:自動発注システムに見られる、発注額の制限)
- マニュアル(ハイブリッド)コントロール:ITを使用しているものの、基本的には手作業によるコントロール(例:コンピュータによる在庫と現物を数えての在庫を照合)
【参考】 業務処理統制と全般統制の関係
業務処理統制の信頼性を確保するためには「全般統制」が必要である。SOX法が施行された背景には、財務報告書の改ざんがある。こうした詐欺行為は、次のような方法で防ぐことができ、そこではITが重要な役割を果たす。
- アプリケーションにより役割を分離:アプリケーションにアクセスできるユーザーの権限を定義し、トランザクション処理実行者と承認者の分離をシステムレベルで実行する
- アクセスコントロール:機密性の高い情報へのアクセスをシステム的に制限する。財務報告書作成チームは情報変更のアクセスを持てない
コントロールの文書化について特定のフォーマットが指定されているわけではないが、ITGIは、コントロールの文書化について表3のように示唆している。
| 文書化のレベル | 内容 |
|---|---|
| 企業レベル |
|
| 活動レベル |
|
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。
キーワード
関連ホワイトペーパー
-
エアネット マネージド専用サーバサービス 【株式会社エアネット】
-
セキュリティ統制に必須のPC操作ログのモニタリング 【クオリティ株式会社】
-
DICOM医用画像処理ソフトウェア開発キット「DICOMGEAR」 【株式会社プロトン】
-
文書管理システムMillemasse(ミレマッセ)で採用している画像処理機能とは・・・ 【株式会社プロトン】
-
CD/DVD-ROMドライブ、USBポートなどのデバイスへのアクセスをコントロール可能とする「Device Lock」 【株式会社プロトン】
関連製品
- IT資産管理・ライセンス管理「License Guard(ライセンスガード)」
人手では把握が困難なPC・ソフトウェアの導入状況や、多種多様のライセンス形態を考慮したライセンス過不足状況などを正確に管理できる、Web対応のローコストなIT資産管理システムをご提供します。
【日立情報システムズ】 - ディスクイメージング技術を使ったデプロイメントソフトウェア「Acronis Snap Deploy 2.0」
ハードディスク ドライブ全体のイメージを作成し、ネットワークに接続された複数台のターゲット コンピュータに対して、リモートからシステム(イメージデータ)の配置や管理を効率的に行うことができる包括的なソリューションです。
【ラネクシー】 - WhiteFox Snooper 2006
Ping,HTTP,DNS,SMTP,POP3,FTP,SNMP,イベントログ,サービス,プロセス監視
【エスディーケー】
注目記事
このアクセサリはiPhoneでは動作しません
・iPhone 3Gに接続すると「このアクセサリはiPhoneでは動作しません」といわれるアクセサリが。「はい」か「いいえ」か選ばなければならない。 2008/08/21 13:15 【】
WSUSユーザー驚く:Windows 7クライアントがリストに現る
・米国時間8月20日、Microsoftのパッチツールである「Windows Software Update Services(WSUS)」サーバのサービスリストに、「Windows 7 Client」のカテゴリが現れた。 2008/08/21 04:01 【オール・アバウト・マイクロソフト】
カテゴリ新着
記事ランキング
プレスリリース
プレスリリース Feed- ディバータ: mixi OpenIDを利用して、mixi(ミクシィ)のコミュニティメンバー専用の会員制サイトが作れるサービス『MixGroup β』をリリース
- ビジュアルワークス: 『フォレストノベル』×『まぜてよ★生ボイス』コラボレーション人気企画『まぜ生★学園』 コミックマーケット74に出現!あの初音ミクや人気声優も登場!
- 時空: 名刺の管理、共有から活用まで!!『BusicaFE(ビジカ・エフイー)システム』製品案内サイト(http://www.busica.jicoo.com/)リニューアル!
- イー・ステート・オンライン: マンション購入お役立ち情報ブログ『マンションフリーク〜住まいの回覧板〜』に新たにモデルルームレポート『ローレルコート立石パークビューレジデンス』がアップされました
- 豊作プロジェクト: 携帯電話アクセスランキングTOP25 8月3日〜8月9日 ショッピングカートの「豊作くん」)
レビュー
レビュー Feed
[レビュー]高い信頼性を普通に使う地球に優しい電源ユニット--Antec EarthWattsシリーズ EA-650
今週の新製品総チェック:薄さ13.9mmのサイバーショット登場!NEC「LaVie」はデザインモデルが
[レビュー]テレビを持ち歩ける最強ツール--ソニー、Blu-rayレコーダー「BDZ-A70」
最新記事
企画特集
DELLが掲げる「新・仮想化アセスメントサービス」- 〜企業システムの仮想化環境の構築を支援〜
ZDNet Japan ホスティング特集- 2008年夏のホスティングサービスのトレンドは何?
Webセキュリティ特集- Web2.0時代の脅威へ対抗するためのソリューションとは?
仮想化環境で求められるストレージの要件- それに応えるNetAppの実力とは?
Techno Exchange- 仮想化技術がグリーンITにもたらすもの
セキュリティ対策レベルテスト公開!- 自社のセキュリティのウイークポイントはドコ?
ZDNet Japan Green IT- サミットだけでは終わらせない!エンタープライズの取り組みはこれからだ!
APC SOLUTIONS FORUM 2008をレポート- 電源、冷却の効率化によるエネルギー削減とは?
ブログ
ブログ RSS Feed
残暑お見舞い申し上げます。- 裏方の裏方日記〜日々是広報 2008/08/21 23:17
- その41:ジェスチャー4 〜ジェスチャー再生方法〜 Second Life 新世界的ものづくりのススメ
- LC2008: 発表者2次募集のお知らせ 日本Linux協会blog
- その後の僕とMac IT-Walker on ZDNet
- エリアターゲティングって、WEB戦略上 本当に大丈夫? 「ズームイン!IPアドレス」ちょっとドメインも
- builder by ZDNet Japanに移行します あとで読むRailsのススメ
- Mac OS X 10.5.2 update 猫科の手も借りたい
- バーチャルとリアルの境界線 大競争時代のBI活用術
- 私が「iPhone」をほしいと思わない理由 アジアIT通信
- log4day〜1人月からの脱却
- 脱線いたしま〜す 「モヤモヤがあっちへ飛んでいく」 真水不足のミッドウェイ
- 精一杯努力した結果の失敗なら仕方ない 現場からの「協働革新」
- キャストの真実 「Second Love Story」〜あの頃の僕たちに〜
- DIY的ITシステムのススメ
- MacPortsに乗り換えた Macでたしなむスクリプト言語
- tool editor: emacs(5) - ~/.emacs Admin.Mac
- オープンソースで起業の準備をしよう インサイドオープンソース
- 9X Problem 「エンタープライズ2.0」への道しるべ
- GoogleとAT&T、iPhoneからの検索リクエストにうれしい悲鳴 J. O'Gradyのアップルコア
- Google検索サイトにビデオ広告が登場 グーグリングGoogle
- 通信革命−NGNを使ったバーチャル取引 シリコンバレーの現場から
- 「スーパーマーケット・バンキング」の逆襲と「青物」の定義 エンタープライズニュースの読み方
- 真の「オープンソース候補」はだれか? ZDNet.com オープンソースブログ
- SOAスイートの誘惑に打ち勝つ! ZDNet.com SOAブログ
- 事業継続マネジメントシステム認証制度の賢い作り方(2) ITセキュリティー下学上達
- iPhone 3Gでビジネス通話とプライベート通話を使い分ける IP Telephony最前線
- CSKに聞く! ITIL成否を分ける要因「なぜPDCAが回らない!?」 (2) ITIL:インサイドストーリー
注目トピックス From CNET Japan
PRADA Phone開封の儀--iPhoneと比べてみました - NTTドコモから発売されている「PRADA Phone by LG」を編集部が入手した。同じタッチパネルケータイであるiPhoneとはどう違うのか、比べながら箱を開けてみた。
iPhoneとPRADA Phone、入力インターフェースはどう違うか - この夏に発売された、注目のタッチパネルケータイ「iPhone 3G」と「PRADA Phone by LG」。いずれもタッチパネルの入力方法にさまざまな工夫を凝らしている。
毎日新聞社内で何が起きているのか(上) - 電凸が引き起こしたすさまじい破壊力 毎日新聞の英語版サイト「毎日デイリーニューズ」が女性蔑視の低...