IT内部統制の記載要求事項

ITGI(ITガバナンス協会)のガイドによれば、IT内部統制の文書化に関しては特定の形式が定められているわけではなく、記載の要求事項があるだけです。

 従って、企業はこの要求事項を満たした文書を作成する必要があります。

 内部統制に関しては、全社レベルと業務レベルに分けた統制記述ガ要求されています。

◆全社レベルの統制記述では、基本構成要素に対する連結子会社を含めた統制の方針や進め方に関する文書、統制に関する調査や質問の実績記録が必要ですし、そしてその記録を継続的で定性的に報告を保証できるツールや手法の活用が必要です。

◆業務レベルの統制記述では、業務フローチャートの記載、プロセス又はサブプロセスに関連したリスク記載、リスク対応とCOSOフレームワークへの整合性の記載、業務プロセスに対して実施された統制活動の記載、そのための手法、そして統制の有効性についての結論を記載します。
 以上の文書化対応が必要になるわけです。

 記載事項をもう少し具体的にみていきましょう。

 全社レベルの統制はIT統制の全社レベル統制での「統制環境」がそれに該当します。

 それはCOBITの4つのドメイン(企画・計画と組織、調達と開発、運用と支援、モニタリング)に対するIT業務プロセスに対する方針記述が必要となります。

 この文書は業務プロセスのリスク分析を基に作成されることになります。

 リスクとは財務アサーションに対する違反リスクです。IT組織構造にはIT化のプロジェクト組織と運用組織記述が必要であり、モニタリングはIT統制としての実施方針に沿った記録、報告が必要となります。

 すなわち、
◆ITガバナンスプロセスに関しては、ITシステムの戦略的計画、ITリスク管理プロセス、コンプライアンスおよび規制管理。

  IT化方針、手続、及び基準、そしてITの組織構造などが必要です。

◆モニタリングおよび報告に関しては、
  ITが事業要件に沿ったものであることを確実にすることと記述されています。

  米国SOX法の場合、CSOにある内部統制の目的が全て対象になりますが、日本版SOX法ではその目的の中で「財務報告の信頼性」に焦点が当りますので、「財務アサーションに沿ったものであることを確実にすること」と解釈してよいでしょう。

 今回はここで終わりです。

 次回はこのテーマの続きでIT内部統制として求められるIT全般統制の文書化を取り上げましょう。「IT内部統制の全般統制記載要求事項」としてテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする