「業務処理に係る内部統制」におけるITの統制活動として定義されているのが、「General Controls:全般統制」と「Application Controls:アプリケーション統制」の2つになります。
「アプリケーション統制」は、財務諸表の作成に深くかかわりのあるプロセスで使われているアプリケーションにおける統制活動となります。具体的には、該当するシステム/アプリケーションで入力・処理・出力の不正やミスを防止するための、「完全性」「正確性」「承認」「正当性」を確認するアプリケーション機能が、これに当たります。例としては、
などがあります。これらは、アプリケーション自体に実装されていくものとなります。従って、財務アプリケーションなどにこういった機能が備わっているかどうかをチェックしていくわけですが、このような機能がない場合にはそれを作り込むか、ほかの手段で代替し、不正やミスの発生するリスクを抑止する必要があります。
また、システム上での不正を防ぐという意味では、これだけでは不十分な場合があります。例えば、
といったことです。このようなリスクはアプリケーションが置かれている環境によって発生するものですが、アプリケーション統制では防ぐことができないため、これらのリスクに対応するのが「IT全般統制」となります。
「IT全般統制」では以下の4つの種類を定義しています。
このIT全般統制に含まれるCOBITの活動は以下の表のとおりであり、これらの活動がきちんと実施されているかチェックしていく必要があります。
ドメイン | COBIT領域(COBIT 3rd Ed.) | ||
---|---|---|---|
AI | 調達と導入 | AI2 | アプリケーションソフトウェアの調達と開発 |
AI3 | 技術インフラの調達と保守 | ||
AI4 | 操作、運用手続きの作成と維持 | ||
AI5 | アプリケーションソフトウェアと技術インフラの導入とテスト | ||
AI6 | 変更管理 | ||
DS | サービス提供とサポート | DS1 | サービスレベルの定義と管理 |
DS2 | サードパーティのサービスの管理 | ||
DS5 | システムセキュリティの保証 | ||
DS9 | 構成管理 | ||
DS10 | 問題と事故の管理 | ||
DS11 | データ管理 | ||
DS13 | オペレーション管理 | ||
IT全般統制は、財務諸表の作成に深くかかわりのあるプロセスで使用されるシステムにおいて、「該当する統制活動がどのようになっているか?」を検討していくことになりますが、これらの活動についてはそのほかの全システム共通の管理や方法論であったりする場合、例えば、品質管理のISO 9000、開発方法論、ISMS、ITILといったものが導入されている場合、全社的な内部統制としてとらえることも可能です。
米国SOX法対応としてのIT内部統制はこういった形で行われていきますが、今後対応が進むであろう日本版SOX法の対応についても、それほど変わらないと想定されます。
◇
次回からは、これらのIT統制活動の中でも重要とされているセキュリティに関して解説していきます。
中島 浩光(なかじま ひろみつ)
日本CA株式会社 カスタマーソリューションアーキテクト
1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。
2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。
東京工業大学理工学研究科経営工学修士課程修了
Copyright © ITmedia, Inc. All Rights Reserved.