IT統制の「IT全般統制」と「アプリケーション統制」に関して整理してみましょう。
IT全般統制のIT統制項目には「プログラム開発」と「プログラム変更」、「プログラムとデータベースへのアクセス」、「コンピュータオペレーション」がありました。
この統制に係るCOBITのドメインは「調達と開発」と「運用と支援」ドメインでこのドメインに属するIT業務プロセスが関与します。
(1)IT統制項目は「プログラム開発」、「プログラム変更」、「プログラムとデータへのアクセス」、「コンピュータオペレーション」です。
この統制項目との標準の関係を捉えてみましょう。
◆「プログラム開発」と「プログラム変更」に対するCOBITのドメインは「調達と開発」です。
このドメインでの対象IT業務プロセスには、アプリケーションシステムソフトウエアの調達又は開発/技術とインフラの調達/方針と手続の策定と保守/アプリケーションソフトウエアと技術インフラの導入とテスト/変更管理の5業務プロセスがありますし、
◆「プログラムとデータへのアクセス」、「コンピュータオペレーション」に対するCOBITのドメインは「運用と支援」です。
このドメインでの対象IT業務プロセスには、システムセキュリティの保証/データ管理/サービスレベルの定義と管理/サードパーティサービス管理/構成の管理/問題と事故管理/オペレーション管理の7業務があります。
IT全般統制のIT業務プロセスに対する方針はこのCOBITのIT業務プロセスの成熟度を目標に策定することになり、業務規定やルール作りにはITIL(IT Infrastructure Library)、ISMS(Information Security Management System)を活用することになります。
(2)IT統制項目はデータの「作成」、「入力」、「処理」、「出力」における「網羅性」、「正確性」、「正当性」、「ファイルの維持継続性」でした。
目標は財務アサーションです。
この目標を達成するために業務に係るソフトウエアプログラムごとの統制規定を作成することになります。
財務アサーションに関する業務をITGI (ITガバナンス協会)では5つの業務、「販売業務」、「購買業務」、「棚卸業務」、「資産管理業務」、「人事業務」を提示しています。
B/S、P/Lに関する重要業務分野としては適切でしょう。
今回はここで終わりです。
次回はIT内部統制として求められる文書化のテーマに移ります。「IT内部統制の記載要求事項」としてテーマに取り上げます。
IT全般統制のIT統制項目には「プログラム開発」と「プログラム変更」、「プログラムとデータベースへのアクセス」、「コンピュータオペレーション」がありました。
この統制に係るCOBITのドメインは「調達と開発」と「運用と支援」ドメインでこのドメインに属するIT業務プロセスが関与します。
(1)IT統制項目は「プログラム開発」、「プログラム変更」、「プログラムとデータへのアクセス」、「コンピュータオペレーション」です。
この統制項目との標準の関係を捉えてみましょう。
◆「プログラム開発」と「プログラム変更」に対するCOBITのドメインは「調達と開発」です。
このドメインでの対象IT業務プロセスには、アプリケーションシステムソフトウエアの調達又は開発/技術とインフラの調達/方針と手続の策定と保守/アプリケーションソフトウエアと技術インフラの導入とテスト/変更管理の5業務プロセスがありますし、
◆「プログラムとデータへのアクセス」、「コンピュータオペレーション」に対するCOBITのドメインは「運用と支援」です。
このドメインでの対象IT業務プロセスには、システムセキュリティの保証/データ管理/サービスレベルの定義と管理/サードパーティサービス管理/構成の管理/問題と事故管理/オペレーション管理の7業務があります。
IT全般統制のIT業務プロセスに対する方針はこのCOBITのIT業務プロセスの成熟度を目標に策定することになり、業務規定やルール作りにはITIL(IT Infrastructure Library)、ISMS(Information Security Management System)を活用することになります。
(2)IT統制項目はデータの「作成」、「入力」、「処理」、「出力」における「網羅性」、「正確性」、「正当性」、「ファイルの維持継続性」でした。
目標は財務アサーションです。
この目標を達成するために業務に係るソフトウエアプログラムごとの統制規定を作成することになります。
財務アサーションに関する業務をITGI (ITガバナンス協会)では5つの業務、「販売業務」、「購買業務」、「棚卸業務」、「資産管理業務」、「人事業務」を提示しています。
B/S、P/Lに関する重要業務分野としては適切でしょう。
今回はここで終わりです。
次回はIT内部統制として求められる文書化のテーマに移ります。「IT内部統制の記載要求事項」としてテーマに取り上げます。
IT統制の「全社レベル統制」作りにはCOBITの4つのドメインにあるIT業務プロセスが関係していましたので整理してみましょう。
全社レベル統制はITの統制環境を中心としたIT統制方針作りでした。この方針作りはCOBITの「企画・計画と組織」のほとんどのIT業務プロセス、「モニタリングと評価」ドメインの全てのIT業務プロセスと「運用と支援」ドメインの一部の3つのIT業務プロセスで対応が可能です。
つまり、COBITのドメインにある以下のIT業務プロセスをカバーすることで、全社レベル統制に必要なIT統制方針を作ることが可能と言うことです。
(1)「企画・計画と組織」ドメインでは、IT戦略計画の策定/情報アーキテクチャの定義/ IT組織とそのかかわり/マネジメント意図と指針の周知/人的資源の管理/外部要求事項の遵守/品質管理
(2)「運用と支援」ドメインは、成果及びキャパシティの管理/利用者の教育と訓練研修/設備管理
(3)「モニタリングと評価」ドメインでは、モニタリング/内部統制の十分性/独立した第3者の保証/内部監査
COBITはこれらのIT業務プロセスに対して成熟度レベルを定義していますので、達成目標はIT統制の方針目標に対するIT業務プロセスの成熟度になります。
成熟度とはIT業務プロセスのPDCA(Plan、Do、Check、Action)をより高度に遂行できる能力レベルです。成熟度レベル4がPDCAの組織的仕組みづくりを目指しています
ので、このレベルを目標として方針を作成すれば良いことになります。
IT統制の全社レベル統制はIT業務プロセスの成熟度レベルを定義したCOBITを活用することで統制の方針とその統制作りが可能となります。
今回はここで終わりです。
次回はIT統制とCOSOの関係をIT全般統制とアプリケーション統制について整理しておきましょう。「IT統制と各標準の関係まとめ-2」としてテーマに取り上げます。
全社レベル統制はITの統制環境を中心としたIT統制方針作りでした。この方針作りはCOBITの「企画・計画と組織」のほとんどのIT業務プロセス、「モニタリングと評価」ドメインの全てのIT業務プロセスと「運用と支援」ドメインの一部の3つのIT業務プロセスで対応が可能です。
つまり、COBITのドメインにある以下のIT業務プロセスをカバーすることで、全社レベル統制に必要なIT統制方針を作ることが可能と言うことです。
(1)「企画・計画と組織」ドメインでは、IT戦略計画の策定/情報アーキテクチャの定義/ IT組織とそのかかわり/マネジメント意図と指針の周知/人的資源の管理/外部要求事項の遵守/品質管理
(2)「運用と支援」ドメインは、成果及びキャパシティの管理/利用者の教育と訓練研修/設備管理
(3)「モニタリングと評価」ドメインでは、モニタリング/内部統制の十分性/独立した第3者の保証/内部監査
COBITはこれらのIT業務プロセスに対して成熟度レベルを定義していますので、達成目標はIT統制の方針目標に対するIT業務プロセスの成熟度になります。
成熟度とはIT業務プロセスのPDCA(Plan、Do、Check、Action)をより高度に遂行できる能力レベルです。成熟度レベル4がPDCAの組織的仕組みづくりを目指しています
ので、このレベルを目標として方針を作成すれば良いことになります。
IT統制の全社レベル統制はIT業務プロセスの成熟度レベルを定義したCOBITを活用することで統制の方針とその統制作りが可能となります。
今回はここで終わりです。
次回はIT統制とCOSOの関係をIT全般統制とアプリケーション統制について整理しておきましょう。「IT統制と各標準の関係まとめ-2」としてテーマに取り上げます。
IT内部統制の全体構成をまとめてみましょう。
IT内部統制は「財務報告の信頼性」を目的に業務プロセスの統制する内部統制とITを活用することによるIT業務プロセスのIT統制が必要になります。
内部統制の業務プロセスとは、販売業務、生産業務、棚卸業務、経理業務等の業務プロセスを統制対象とします。
そこには連結対象子会社も含めた「全社レベルの統制」と個々の業務プロセスに対する「業務レベルの統制」があります。
一方、IT統制のIT 業務プロセスとは、ITの企画・計画、調達&導入、運用&支援、モニタリングのIT業務を言います。
これらのIT業務は「全社レベル統制」と「IT全般統制」の対象分野です。
「アプリケーション統制」は内部統制での業務と密接に関係しますので、業務プログラムが適切に稼働するためのITの統制が必要になります。
IT内部統制におけるCOBITとITILの位置づけを整理してみましょう。
前述しましたが、COBITとITILの関係はCOBITが上位の方針規定や統制のためのIT業務定義であるのに対し、ITILは下位の業務規定とその統制の関係にあります。
COBITやITILはIT業務に係る定義ですのでIT 統制の分野です。
その中でも「全社レベル統制」と「IT全般統制」をカバーするIT業務の統制となります。
IT統制の全社レベル統制はCOBITのドメインで言えば「企画・計画と組織」と「モニタリング」ドメインのIT業務プロセス、そして「運用と支援」ドメインの一部のIT業務プロセス(149回参照)を統制することでカバーできます。
IT全般統制はCOBITの「調達と開発」と「運用と支援」ドメインのIT業務プロセスを統制することでカバーすることが可能です。
ITILはIT運用に焦点を当てたIT業務です。
このIT業務の定義は、COBITとの関係で捉えますと、COBITの「運用と支援」ドメインのIT業務プロセス、そして「調達と開発」ドメインの1部(149回参照)のIT業務プロセスを詳細定義したものでCOBITの下位構造に位置し、業務規定、ルールの制定、手順書レベルでの統制を可能とします。
今回はここで終わりです。
次回はIT統制と各標準の関係を整理しておきましょう。「IT統制と各標準の関係-1」としてテーマに取り上げます。
IT内部統制は「財務報告の信頼性」を目的に業務プロセスの統制する内部統制とITを活用することによるIT業務プロセスのIT統制が必要になります。
内部統制の業務プロセスとは、販売業務、生産業務、棚卸業務、経理業務等の業務プロセスを統制対象とします。
そこには連結対象子会社も含めた「全社レベルの統制」と個々の業務プロセスに対する「業務レベルの統制」があります。
一方、IT統制のIT 業務プロセスとは、ITの企画・計画、調達&導入、運用&支援、モニタリングのIT業務を言います。
これらのIT業務は「全社レベル統制」と「IT全般統制」の対象分野です。
「アプリケーション統制」は内部統制での業務と密接に関係しますので、業務プログラムが適切に稼働するためのITの統制が必要になります。
IT内部統制におけるCOBITとITILの位置づけを整理してみましょう。
前述しましたが、COBITとITILの関係はCOBITが上位の方針規定や統制のためのIT業務定義であるのに対し、ITILは下位の業務規定とその統制の関係にあります。
COBITやITILはIT業務に係る定義ですのでIT 統制の分野です。
その中でも「全社レベル統制」と「IT全般統制」をカバーするIT業務の統制となります。
IT統制の全社レベル統制はCOBITのドメインで言えば「企画・計画と組織」と「モニタリング」ドメインのIT業務プロセス、そして「運用と支援」ドメインの一部のIT業務プロセス(149回参照)を統制することでカバーできます。
IT全般統制はCOBITの「調達と開発」と「運用と支援」ドメインのIT業務プロセスを統制することでカバーすることが可能です。
ITILはIT運用に焦点を当てたIT業務です。
このIT業務の定義は、COBITとの関係で捉えますと、COBITの「運用と支援」ドメインのIT業務プロセス、そして「調達と開発」ドメインの1部(149回参照)のIT業務プロセスを詳細定義したものでCOBITの下位構造に位置し、業務規定、ルールの制定、手順書レベルでの統制を可能とします。
今回はここで終わりです。
次回はIT統制と各標準の関係を整理しておきましょう。「IT統制と各標準の関係-1」としてテーマに取り上げます。
IT統制の「全社レベル統制」、「IT 全般統制」については前回までで解説しました。
ここでは、もう1つの統制要因である「アプリケーション統制」について述べていきます。
アプリケーション統制とは業務に組み込まれたアプリケーションプログラムに対する統制です。
そのプログラムに求められる要件には、その要件に対応する統制目標があります。
「データの網羅性」、「データの正確性」、「データの正当性」、「ファイルの維持継続性」の4つの統制目標です。
◆「データの網羅性」とはすべての簿記上の取引データが反映されることを求めています。
◆「データの正確性」ではデータが正しく記録・更新され、エラーが生じたデータが適切に検出・修正される統制を要求します。
◆「データの正当性」は実際の取引に基づいた取引データであることの保証や承認されたデータであることを保証する統制を求めます。
◆「ファイルの維持継続性」ではマスタファイルを最新状態で維持するコントロールやマスタファイルの整合性を保持する統制を要求します。
これらがアプリケーション統制の要求です。
“これらの要求は如何に実現するのでしょうか”。そのアプリケーション統制の対応事項を見て行きましょう。
アプリケーション統制は業務に組み込まれた統制です。業務に組み込まれたプログラムには「入力」、「処理」、「出力」の手続があります。
アプリケーション統制を行うということは“この手続を統制目標に沿って如何に統制するか”に置き換えることが出来ます。
すなわち、データ処理過程におけるコントロールです。このコントロールのための対応事項を整理してみます。
◆「照合による統制」では、受注トランザクションと請求処理時のトランザクション数を自動照合することで、目標の「網羅性」への対応が可能になります。
◆「チェックディジット」による対応とは、不正確なデータ入力の検証が出来ますので、目標の「データの正確性」への対処が可能となります。
◆「事前定義のデータリスト」による対応は事前に許可したデータを受け入れるようにするわけですから「データの正当性」への対処を可能にします。
◆「データの妥当性検証」は「データの正当性」や「データの正確性」への対処となりますし、
◆「ロジックテスト」は自動化することで、 「データの正当性」や「ファイルの維持継続性」への対処を可能にします。
ITGI (ITガバナンス協会)のガイドライン資料の中で、“こうした機能は通常、SAP、ピープルソフト、オラクル、JDエドワーズ、その他の統合ERP環境では実現される。”と明言しています。
ERPを使わないスクラッチ開発のシステムの考慮点であると述べていることになります。
今回はここで終わりです。
次回はIT内部統制の全体構成とその位置づけを整理しておきましょう。「IT内部統制の構造まとめ−1」としてテーマに取り上げます。
ここでは、もう1つの統制要因である「アプリケーション統制」について述べていきます。
アプリケーション統制とは業務に組み込まれたアプリケーションプログラムに対する統制です。
そのプログラムに求められる要件には、その要件に対応する統制目標があります。
「データの網羅性」、「データの正確性」、「データの正当性」、「ファイルの維持継続性」の4つの統制目標です。
◆「データの網羅性」とはすべての簿記上の取引データが反映されることを求めています。
◆「データの正確性」ではデータが正しく記録・更新され、エラーが生じたデータが適切に検出・修正される統制を要求します。
◆「データの正当性」は実際の取引に基づいた取引データであることの保証や承認されたデータであることを保証する統制を求めます。
◆「ファイルの維持継続性」ではマスタファイルを最新状態で維持するコントロールやマスタファイルの整合性を保持する統制を要求します。
これらがアプリケーション統制の要求です。
“これらの要求は如何に実現するのでしょうか”。そのアプリケーション統制の対応事項を見て行きましょう。
アプリケーション統制は業務に組み込まれた統制です。業務に組み込まれたプログラムには「入力」、「処理」、「出力」の手続があります。
アプリケーション統制を行うということは“この手続を統制目標に沿って如何に統制するか”に置き換えることが出来ます。
すなわち、データ処理過程におけるコントロールです。このコントロールのための対応事項を整理してみます。
◆「照合による統制」では、受注トランザクションと請求処理時のトランザクション数を自動照合することで、目標の「網羅性」への対応が可能になります。
◆「チェックディジット」による対応とは、不正確なデータ入力の検証が出来ますので、目標の「データの正確性」への対処が可能となります。
◆「事前定義のデータリスト」による対応は事前に許可したデータを受け入れるようにするわけですから「データの正当性」への対処を可能にします。
◆「データの妥当性検証」は「データの正当性」や「データの正確性」への対処となりますし、
◆「ロジックテスト」は自動化することで、 「データの正当性」や「ファイルの維持継続性」への対処を可能にします。
ITGI (ITガバナンス協会)のガイドライン資料の中で、“こうした機能は通常、SAP、ピープルソフト、オラクル、JDエドワーズ、その他の統合ERP環境では実現される。”と明言しています。
ERPを使わないスクラッチ開発のシステムの考慮点であると述べていることになります。
今回はここで終わりです。
次回はIT内部統制の全体構成とその位置づけを整理しておきましょう。「IT内部統制の構造まとめ−1」としてテーマに取り上げます。
