米SOX法の実態:第3回「多岐にわたるIT部門の対応プロセスの複雑さ」 - (page 3)

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年06月14日 22時45分

  • このエントリーをはてなブックマークに追加
  • 印刷

フェーズI:計画立案と対応範囲の決定
 ITのSOX法対応第一歩は、ステアリングコミッティの一部であるITコントロールサブコミッティの設定から始まる。サブコミッティは、ITのSOX法対応プロセスを監督し、SOX法対応プロセス全体にITの対応を統合、そして、ステアリングコミッティとの意思疎通を図る。そして、リーダーにはプロジェクト実行に必要な権限が与えられると同時に、説明責任も課せられる。

 IT対応計画の策定に当たっては、まず、対応すべき主要アプリケーションとそれをサポートするシステムを判明する。

 それを基にプロジェクト計画を策定し、財務のSOX法対応チームと調整を図る。プロジェクト計画は最終的には財務とITの対応を統合したものとなり、経営者をはじめとするステークホルダー全員の承認を得る必要がある。

 ITコントロールにおける最大の困難は、「アプリケーションコントロール(業務処理統制)に誰が責任を持つのか?」ということである。ITGIが策定した「ITのSOX法対応ロードマップ」には、「ビジネスオーナーは特定のビジネスプロセスの業務処理統制に責任を持ち、IT部門はプロセス所有者がコントロールをテスト・導入することを支援し、全般統制(アクセス制限、変更管理、バックアップなど)が確実に導入され、信頼できるものであることを保障する」と記述されている。

フェーズII:リスク評価
 アプリケーションやそれをサポートするシステム(データベース、OS、ネットワーク、物理的環境)にリスクを管理するために必要なコントロールを導入する。リスク評価でしばしば検討される要素には次のようなものがある。

  • 過去の経験
  • トランザクション量(ワークロード)
  • システムの特徴(高度・複雑/単純)
  • スタッフの技量(有経験者/未経験者)
  • プロセスの形態(集中/分散)

 リスク評価に基づき、ITコントロールチームは対応アプリケーションとサポートするシステムを更新し、プロジェクトの範囲を再調整し、同時にSOX法対応計画全体も更新する。

フェーズIII:コントロールを文書化
 財務報告書の信頼性を脅かすリスクを抑制するために、コントロールを文書化する。コントロールには以下の2つのタイプがある。

  • 自動コントロール:コンピュータによるコントロール(例:自動発注システムに見られる、発注額の制限)
  • マニュアル(ハイブリッド)コントロール:ITを使用しているものの、基本的には手作業によるコントロール(例:コンピュータによる在庫と現物を数えての在庫を照合)

【参考】 業務処理統制と全般統制の関係
 業務処理統制の信頼性を確保するためには「全般統制」が必要である。SOX法が施行された背景には、財務報告書の改ざんがある。こうした詐欺行為は、次のような方法で防ぐことができ、そこではITが重要な役割を果たす。

  • アプリケーションにより役割を分離:アプリケーションにアクセスできるユーザーの権限を定義し、トランザクション処理実行者と承認者の分離をシステムレベルで実行する
  • アクセスコントロール:機密性の高い情報へのアクセスをシステム的に制限する。財務報告書作成チームは情報変更のアクセスを持てない

 コントロールの文書化について特定のフォーマットが指定されているわけではないが、ITGIは、コントロールの文書化について表3のように示唆している。

表3
文書化のレベル内容
企業レベル
  • 企業レベルでのコントロールの文書化
  • 経営者の意見など
活動レベル
  • プロセス並びに関連サブプロセス(フローチャートが効果的)
  • プロセス並びに関連サブプロセスに係るリスクの説明(リスクのインパクトや起こる可能性など)
  • プロセス並びに関連サブプロセスに係るリスクを軽減するためのコントロール目標の説明
  • コントロール目標を実現するためにデザイン、実行されるコントロール活動
  • コントロールの存在と効果を確認(テスト)するためのアプローチを説明
  • コントロールの効果のテスト結果

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連記事

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]