ITコントロールに言及していないCOSOフレームワーク
SOX法に対応するに当たり、トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organizaiton of the Treadway Commission)が策定したフレームワークや情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が定めたITガバナンスの成熟度を測る手法である「COBIT(Control Objectives for Information and related Technology)」などがフレームワークとしてしばしば利用されている。COSOはビジネスプロセスのリスク測定、コントロール活動、コミュニケーションやモニタリングのガイドラインとして、COSOフレームワークを策定した。しかし、COSOはITコントロールには言及していないため、COSO標準に基づいて、COSOをIT部門が取るべき行動に「翻訳」したものがCOBITである。COBITは以下のドメインに焦点を当てている。
- 計画と組織化(Plan and Organize):IT戦略企画と情報アーキテクチャ、リスク査定、プロジェクト管理、人的資源管理、技術指針の決定など
- 調達と導入(Acquire and Implement):自動化ソリューションの検証、テクノロジインフラストラクチャとアプリケーションソフトウェアの調達と変更管理
- デリバリとサポート(Delivery and Support):サービスレベルを定義・管理、パフォーマンスとキャパシティを管理、システムセキュリティの保証、問題とインシデントを管理
- モニタリングと評価(Monitor and Evaluate):ITパフォーマンスのモニタリングと評価、内部統制のモニタリングと評価、外部監査
2004年4月、ISACAの下部組織であるITガバナンス研究所(ITGI:IT Governance Institute)は「SOX法のためのITコントロール目標(IT Control Objective for Sarbanes-Oxley)」を発行し、企業によるITのSOX法対応のためのガイダンスを示している。詳細はITGIのサイトからダウンロードできる。
IT部門のSOX法対応プロセス
では実際のIT部門のSOX法対応プロセスの詳細を見てみよう。財務に関する対応プロセスと同様、IT対応プロセスも、さまざまなコンサルティング企業が独自のプロセスを提唱している。しかし、共通して見られるプロセスには表2のようなものがある。
フェーズ | 内容 | 説明 |
---|---|---|
I | 計画立案と対応範囲の決定 | SOX法対応の対象となるアプリケーション、インフラストラクチャ、データベースを特定 |
II | リスク評価 | ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを評価 |
III | コントロールを文書化 |
|
IV | コントロールデザインと実行効果の評価 |
|
V | 欠陥を測定・修正 | ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを考慮し、欠陥の優先付けを行う |
VI | 継続性 |
|
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。