米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」 - (page 2)

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ)

2006-06-14 22:45

ITコントロールに言及していないCOSOフレームワーク

 SOX法に対応するに当たり、トレッドウェイ委員会組織委員会(COSO:Committee of Sponsoring Organizaiton of the Treadway Commission)が策定したフレームワークや情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が定めたITガバナンスの成熟度を測る手法である「COBIT(Control Objectives for Information and related Technology)」などがフレームワークとしてしばしば利用されている。COSOはビジネスプロセスのリスク測定、コントロール活動、コミュニケーションやモニタリングのガイドラインとして、COSOフレームワークを策定した。しかし、COSOはITコントロールには言及していないため、COSO標準に基づいて、COSOをIT部門が取るべき行動に「翻訳」したものがCOBITである。COBITは以下のドメインに焦点を当てている。

  • 計画と組織化(Plan and Organize):IT戦略企画と情報アーキテクチャ、リスク査定、プロジェクト管理、人的資源管理、技術指針の決定など
  • 調達と導入(Acquire and Implement):自動化ソリューションの検証、テクノロジインフラストラクチャとアプリケーションソフトウェアの調達と変更管理
  • デリバリとサポート(Delivery and Support):サービスレベルを定義・管理、パフォーマンスとキャパシティを管理、システムセキュリティの保証、問題とインシデントを管理
  • モニタリングと評価(Monitor and Evaluate):ITパフォーマンスのモニタリングと評価、内部統制のモニタリングと評価、外部監査

 2004年4月、ISACAの下部組織であるITガバナンス研究所(ITGI:IT Governance Institute)は「SOX法のためのITコントロール目標(IT Control Objective for Sarbanes-Oxley)」を発行し、企業によるITのSOX法対応のためのガイダンスを示している。詳細はITGIのサイトからダウンロードできる

IT部門のSOX法対応プロセス

 では実際のIT部門のSOX法対応プロセスの詳細を見てみよう。財務に関する対応プロセスと同様、IT対応プロセスも、さまざまなコンサルティング企業が独自のプロセスを提唱している。しかし、共通して見られるプロセスには表2のようなものがある。

表2
フェーズ内容説明
I 計画立案と対応範囲の決定 SOX法対応の対象となるアプリケーション、インフラストラクチャ、データベースを特定
II リスク評価 ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを評価
III コントロールを文書化
  • 業務処理統制(自動化もしくは、自動化と手作業の組み合わせ)
  • 全般統制(アクセス、プログラム開発・変更、およびコンピュータオペレーション)
IV コントロールデザインと実行効果の評価
  • 全ての主要コントロールが文書化されている
  • コントロールが実際に効果的であるかテストし、確認する
V 欠陥を測定・修正 ITシステムが財務報告のエラーや詐欺行為を招く可能性、並びにそうした状況が起きた場合のインパクトを考慮し、欠陥の優先付けを行う
VI 継続性
  • コントロールを自動化し、信頼性を改善、テストを減らす
  • 重複しているコントロールを減らす

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

関連記事

関連キーワード
運用管理

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    Pマーク改訂で何が変わり、何をすればいいのか?まずは改訂の概要と企業に求められる対応を理解しよう

  2. 運用管理

    メールアラートは廃止すべき時が来た! IT運用担当者がゆとりを取り戻す5つの方法

  3. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  4. セキュリティ

    AIサイバー攻撃の増加でフォーティネットが提言、高いセキュリティ意識を実現するトレーニングの重要性

  5. セキュリティ

    クラウド資産を守るための最新の施策、クラウドストライクが提示するチェックリスト

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]