内部統制とCOBIT管理プロセス

米国のIT内部統制のガイドラインである IT Governance Instituteの「サーベインズ・オクスリー法遵守のためのIT統制目標」を見ると、SOX法の法律条項とCOSOの内部統制の基本構成要素およびCOBITの管理プロセスの関係をキュービック(立方体)の図で述べています。

 1つの軸はSOX法です。経営者の内部統制を義務付けを規定した302条(日本版SOX法では24条の4の4)、外部の監査人が監査することを義務付けの規程した404条(日本版SOX法では193条の2の第2項)が置かれ、もう1つの軸には内部統制の5つの基本構成要素、「統制環境」、「リスク評価」、「統制活動」、「情報と伝達」、「モニタリング」が配置されます。SOX法に準ずるには、この基本構成要素を内部統制の4つの目的に沿って遵守することとなります。

日本版SOX法ではこの目的は「財務報告の信頼性」に絞られます。

 最後の軸はCOBITの軸です。内部統制の基本構成要素はCOBITの管理業務プロセスで具体的な業務規程として具現化されるというためのキュービック図です。

 もう一つの図がこのガイドラインにあります。その図はCOBITの4つの管理プロセスの下位構造を34個の管理業務プロセス展開を内部統制の基本構成要素を割り当てたものです。

 基本構成要素がCOBITのどの業務プロセスで定義されているかを表し、全ての基本構成要素がマッピングされていることが分かります。

 さらに、この図ではIT統制とCOBITの管理業務の関係も示しています。

 COBITの定義はITガバナンスの観点では業務管理の上位レベルの規程に有効です。

 つまり、IT統制には、「全社レベル統制」、「IT全般統制」、「アプリケーション統制」の3種の統制があります。

その中で、COBITのITガバナンスは「全社レベル統制」、「IT全般統制」を対象として統制の領域をカバーします。

 まとめますと、COBITの管理業務プロセスの成熟度記述はIT統制の「全社レベル統制」、「IT全般統制」をカバーする統制規程であり、その規程は内部統制の基本構成要素を規定した内容であるということを示しているわけです。

 このITガバナンスの上位規定を行えば、SOX法や日本版SOXに対応する業務管理規程が出来上がることになります。

 今回はここで終わりです。
 次回はCOBITとITILの関係を「COBITとITILの関係」をテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする