ITsox |
日本版SOX法に準拠したIT統制の評価・テスト作業の受託 FTIの ITsox は、日本版 SOX 法に準じた IT 統制の評価・テストを行うサービスです。 当社で開発したツールを使用してIT統制の評価・テストの一括受託をします。 |
業務処理統制(ITAPC)及びIT全般統制(ITGC)の両方をカバーしますが、業務処理統制の テスト・評価については企業によりアプリケーションが異なるため個別対応が必要になります。 テスト・評価ステージでは |
|
などが必要となってきます。当社のサービスは作業者自身が直接Inputしたデータがそのままフォーマットに出力されるので、作業の短縮化、Inputミスの低減などの効率的運用が可能となります。最終的に経営陣、管理者レベルが一目でわかる報告書類が簡単に作成することができます。 |
IT統制 |
内部統制システムの一部を構成する統制要素で、企業の業務や管理システムを情報技術 今日、企業の業務プロセスやマネジメント・システムはコンピューター・システムに |
1)業務処理統制(ITAPC) 個々の業務処理システム(アプリケーション・システム)において、データの網羅性、 正確性、正当性、維持継続性を確保するための統制であり、業務システムにおけるデータ 入力、処理、出力が正しく行われていることを保証するためのものである。 例として投資信託取引システム、外国為替システム、在庫管理システム、人事システム。 |
2) 全般統制 (ITGC) 業務処理統制が、健全かつ有効に機能する基盤・環境を保証する間接的な統制であり、 IT 戦略、企画、開発、運用、保守、アクセス管理及びそれを支える組織、制度、基盤 システムに対する統制を含む。 |
IT全般統制のプロジェクトの進め方 |
計画フェーズの目標は 1)対象範囲の決定、(2)文書化・評価範囲の把握、 (3)現状の統制レベルの把握の3点となる。 |
(1) 対象範囲の決定 |
対象範囲とは、IT全般統制の対象となるシステム(アプリケーション・システム及び稼動するインフラ)を指す。これを確定するために業務プロセス側からボトムアップで評価していく方法となる。まず財務報告にかかわる業務プロセスを識別し、その業務をサポートするアプリケーション・システムを識別し、それを支えるIT全般統制を識別する。 |
(2) 文書化・評価単位の把握 |
先述の通り、IT全般統制は開発や運用の実施方法であり、企業においては全てそれが統一された方法でないことが多い。一般的にシステムの稼動場所、対応組織、プラットフォーム(ハードウェアやオペレーティング・システム)が異なる場合には、開発・運用の方法がそれぞれ異なり、結果としてIT全般統制の統制内容やレベルに差異が生ずるケースが多いと考えられる。このためIT環境を棚卸しする際にこれらの要素を着目し情報を整理し、IT全般統制の共通単位=文書化・評価の単位を抽出する。 |
(3) 現状の統制レベルの把握 |
文書化・評価単位として抽出された単位に基づいて、現状の統制レベルの概要を把握する。 |
(4) スプレッドシート |
財務報告にかかわる業務でスプレッドシート(表計算ソフト)を活用するケースが多くなっているが、スプレッドシートは手軽に利用できる反面、アクセス管理や変更管理などは行われていないケースが多い。スプレッドシートの利用目的や取り扱うデータによっては、財務報告に影響を与える「システム」として、IT全般統制の適用を検討するケースが生じる。 次のフェーズ(見出しのみ)は以下の通り。 Aパイロット・導入フェーズ−IT全般統制の文書化と評価、不備への対応 B運用フェーズ−IT全般統制の継続的改善と自動化 |