米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」 - (page 2)

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年06月14日 22時45分

  • このエントリーをはてなブックマークに追加
  • 印刷

ITコントロールに言及していないCOSOフレームワーク

 SOX法に対応するに当たり、トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organizaiton of the Treadway Commission)が策定したフレームワークや情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が定めたITガバナンスの成熟度を測る手法である「COBIT(Control Objectives for Information and related Technology)」などがフレームワークとしてしばしば利用されている。COSOはビジネスプロセスのリスク測定、コントロール活動、コミュニケーションやモニタリングのガイドラインとして、COSOフレームワークを策定した。しかし、COSOはITコントロールには言及していないため、COSO標準に基づいて、COSOをIT部門が取るべき行動に「翻訳」したものがCOBITである。COBITは以下のドメインに焦点を当てている。

  • 計画と組織化(Plan and Organize):IT戦略企画と情報アーキテクチャ、リスク査定、プロジェクト管理、人的資源管理、技術指針の決定など
  • 調達と導入(Acquire and Implement):自動化ソリューションの検証、テクノロジインフラストラクチャとアプリケーションソフトウェアの調達と変更管理
  • デリバリとサポート(Delivery and Support):サービスレベルを定義・管理、パフォーマンスとキャパシティを管理、システムセキュリティの保証、問題とインシデントを管理
  • モニタリングと評価(Monitor and Evaluate):ITパフォーマンスのモニタリングと評価、内部統制のモニタリングと評価、外部監査

 2004年4月、ISACAの下部組織であるITガバナンス研究所(ITGI:IT Governance Institute)は「SOX法のためのITコントロール目標(IT Control Objective for Sarbanes-Oxley)」を発行し、企業によるITのSOX法対応のためのガイダンスを示している。詳細はITGIのサイトからダウンロードできる

IT部門のSOX法対応プロセス

 では実際のIT部門のSOX法対応プロセスの詳細を見てみよう。財務に関する対応プロセスと同様、IT対応プロセスも、さまざまなコンサルティング企業が独自のプロセスを提唱している。しかし、共通して見られるプロセスには表2のようなものがある。

表2
フェーズ内容説明
I 計画立案と対応範囲の決定 SOX法対応の対象となるアプリケーション、インフラストラクチャ、データベースを特定
II リスク評価 ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを評価
III コントロールを文書化
  • 業務処理統制(自動化もしくは、自動化と手作業の組み合わせ)
  • 全般統制(アクセス、プログラム開発・変更、およびコンピュータオペレーション)
IV コントロールデザインと実行効果の評価
  • 全ての主要コントロールが文書化されている
  • コントロールが実際に効果的であるかテストし、確認する
V 欠陥を測定・修正 ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを考慮し、欠陥の優先付けを行う
VI 継続性
  • コントロールを自動化し、信頼性を改善、テストを減らす
  • 重複しているコントロールを減らす

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連記事

SpecialPR

連載

CIO
教育IT“本格始動”
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]