IT統制とCOSOの関係まとめ-2

 IT統制の「IT全般統制」と「アプリケーション統制」に関して整理してみましょう。

 IT全般統制のIT統制項目には「プログラム開発」と「プログラム変更」、「プログラムとデータベースへのアクセス」、「コンピュータオペレーション」がありました。

 この統制に係るCOBITのドメインは「調達と開発」と「運用と支援」ドメインでこのドメインに属するIT業務プロセスが関与します。

 (1)IT統制項目は「プログラム開発」、「プログラム変更」、「プログラムとデータへのアクセス」、「コンピュータオペレーション」です。

この統制項目との標準の関係を捉えてみましょう。
  ◆「プログラム開発」と「プログラム変更」に対するCOBITのドメインは「調達と開発」です。

  このドメインでの対象IT業務プロセスには、アプリケーションシステムソフトウエアの調達又は開発/技術とインフラの調達/方針と手続の策定と保守/アプリケーションソフトウエアと技術インフラの導入とテスト/変更管理の5業務プロセスがありますし、

  ◆「プログラムとデータへのアクセス」、「コンピュータオペレーション」に対するCOBITのドメインは「運用と支援」です。

 このドメインでの対象IT業務プロセスには、システムセキュリティの保証/データ管理/サービスレベルの定義と管理/サードパーティサービス管理/構成の管理/問題と事故管理/オペレーション管理の7業務があります。

  IT全般統制のIT業務プロセスに対する方針はこのCOBITのIT業務プロセスの成熟度を目標に策定することになり、業務規定やルール作りにはITIL(IT Infrastructure Library)、ISMS(Information Security Management System)を活用することになります。

 (2)IT統制項目はデータの「作成」、「入力」、「処理」、「出力」における「網羅性」、「正確性」、「正当性」、「ファイルの維持継続性」でした。

目標は財務アサーションです。
この目標を達成するために業務に係るソフトウエアプログラムごとの統制規定を作成することになります。

  財務アサーションに関する業務をITGI (ITガバナンス協会)では5つの業務、「販売業務」、「購買業務」、「棚卸業務」、「資産管理業務」、「人事業務」を提示しています。

B/S、P/Lに関する重要業務分野としては適切でしょう。

 今回はここで終わりです。

 次回はIT内部統制として求められる文書化のテーマに移ります。「IT内部統制の記載要求事項」としてテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする