ITプロセス統制の要件-その2

「ITプロセス統制の要件」の中で、「ビジネスコントロールとITコントロール」について、述べてみようと思います。

米国の内部統制は、COSOの規定に従いますので日本版SOX法の内部統制とは異なります。「財務報告の信頼性」の前に「業務の有効性、効率性」があります。COBITはCOSO の規定に従いますので、ビジネス目標が最終目標として位置づけているわけです。
(注)COSOとはトレッドウェイ委員会組織委員会で内部統制フレームワークの事実上の世界標準となる枠組みを公表しているところです。

そんなところから、この「ビジネスコントロールとITコントロール」の項目を設け、ビジネスコントロールとITコントロールの関係を内部統制の観点から捉えることになりました。

ビジネスコントロールでは、統制のレベルを「幹部経営層レベル」、「ビジネスプロセスレベル」、「ビジネスプロセスサポート」の3レベルで捉えます。

★幹部経営層レベルでは、ビジネス目標とポリシーを設定します。IT統制環境はこの上位レベルの目標およびポリシーにより方向付けられます。

★ビジネスプロセスレベルでは、ビジネスプロセスはITアプリケーションシステムに統合され、自動化されることになります。
ただし、取引の認可、職務分離、人による調整は手作業の手続となます。この統制を業務処理統制といいます。

★ビジネスプロセスをサポートでは、業務処理統制を有効に機能するためのITインフラストラクチャとしてのIT全般統制があります。
変更管理が十分でないと、自動インテグリティチェックの信頼性が脅かされることになります。

IT全般統制のテーマです。
COBIT4.0ではITコントロールにも内部統制を取り込んでいます。対象はIT全般統制と業務処理統制です。

★IT全般統制とは、ITプロセスおよびITサービスに組み込まれた統制を言います。
「システム開発」というITプロセス、変更管理、セキュリティ、コンピュータオペレーションといったITサービスが対象です。

★業務処理統制は、ビジネスプロセスに組み込まれた統制です。
業務がIT化されていても業務処理統制の管理と責任は、IT部門ではなくビジネスプロセスオーナーです。
統制目標は、データが漏れなく処理されるための「網羅性」、正しいデータが確保される「正確性」、承認されたデータとしての「妥当性」、「認可」という責任行為、第3者牽制による不正や不備防止のための「職務分離」の統制です。

この統制は、業務処理での処理を通してコントロールされることになります。
業務処理のITコントロールの観点から、統制事項をみていくことにしましょう。

今回はここで終わります。
次回は、「ITプロセス統制の要件-業務処理統制その1」で、“業務処理統制”について解説します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする