IT統制に関する必要文書

IT統制ではITの「全社レベル統制」、「全般統制」、「アプリケーション統制」が求められました。

そのための文書化が必要になります。ITGI(ITガバナンス協会)のガイドラインではそれぞれの統制に必要な文書を紹介していますので、その概要を解説しましょう。
参考:ガイドラインURL

(1)ITの全社レベル統制:全社レベルですのでIT業務に関する連結子会社を含めた統制です。

ITガバナンス方針を文書化するために、「全社レベル質問書」をリファレンスとして提供しています。
この質問書をみますと、IT統制の「統制環境」の分野に関する質問はCOBITの「企画・計画と組織」、「モニタリング」ドメインを中心にIT統制に関係するIT業務プロセスに付いての質問事項が作成されており、ITガバナンス方針に対するチェックリストと
なっています。

(2)IT全般統制:IT全般統制に係るCOBITの業務プロセス規定の例をリファレンスとして紹介しています。

IT業務プロセスの「統制目標」、統制目標に対する「根拠理由」、「統制事項」、「統制内容」の構成の記述文書が必要であるとして記述しています。

COBITでの対象ドメインで言えば、「調達と開発」、「運用と支援」で、IT全般統制に係る全てのIT業務プロセスに対して作成されています。

この内容は、IT業務規定の例と考えても良いものです。ITGI のガイドではこの例を基に各企業にあった文書記述を推奨しています。

要求事項の「実在性(記録)」について記述する場合も、この形式に沿って実施報告を記載すればよい形式で作成されています。

この規定の下位構造に当る詳細規定やルール、手順等はITILやISMSを用いて記述すれば適切な文書となります。

(3)アプリケーション統制:この統制は業務に組み込まれたアプリケーションプログラムに対する統制でした。

この文書化の基点になるのは、対象業務とその業務処理における監査基準である「財務アサーション」です。

そのために、プログラムに統制目標である「データの網羅性」、「データの正確性」、「データの正当性」、「ファイルの維持継続性」といった4つの統制目標を設定し、処理の信頼性を求めています。

処理の統制文書です。この処理統制の記述視点は、「データ入力」、「データ処理」、「データ出力」を中心に「データ作成・維持」の作業で統制するための文書を作成する必要があります。

今回はここで終わりです。
次回は「IT内部統制の文書化体系」をテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする