IT統制において、もう1つ押さえておくべき米国の基準がCOBIT(Control OBjectives for Information and related Technology)と、COBIT for SOX(IT Control Objectives for Sarbanes-Oxley)です。COBITは米国ITガバナンス協会(ITGI)と米国情報システムコントロール協会(ISACA)が策定したIT統制のフレームワークです。初版は1996年、最新版のCOBIT第4版は2005年12月に出ています。COBITは4つの領域、34のITプロセス、215の統制目標から構成されます。また成熟度の基準を提供しており、IT統制の成熟度を測ることができます。
COBITは広く内部統制に使用可能ですので、多くの米国企業はSOX法でのIT統制のフレームワークとして使用しました。COBITの中でSOX法と関係のある部分のみを取り出したものがCOBIT for SOXです。COBIT for SOXは日本版SOX法でのIT統制の対応においても参考になります。2006年9月に第2版が出ています。
COBIT for SOXではIT統制は経営管理、業務プロセス、ITサービスの3つの構成要素があるとしており、それぞれでの統制を全社レベルの統制、アプリケーション統制、IT全般統制と呼びます。
|
|
|
図8 IT統制における組織共通の構成要素 |
全社レベルの統制については、COSOの各構成要素へのIT統制の適用時に考慮すべき事項が示されています。
アプリケーション統制については、ERPなどのITを使った場合のアプリケーションシステムの統制目標の事例をいくつかの業務(決算、総勘定元帳、販売、購買、棚卸資産、固定資産管理、人事部、税務)について示しています。
IT全般統制については、PCAOB AS2に書かれているIT全般統制目標に対応するCOBITのプロセスを以下の12個選別し、それぞれ統制目標、統制、統制テストの事例を紹介しています。
- アプリケーションソフトウェアの調達と保守
- 技術インフラの調達と保守
- 運用の促進
- ソリューションおよびその変更の導入と認定
- 変更管理
- サービスレベルの定義と管理
- サードパーティのサービスの管理
- システムセキュリティの保証
- 構成管理
- 問題とインシデント管理
- データ管理
- 物理的環境とオペレーション管理
また、統制が難しいといわれているスプレッドシートの統制の指針や、米国企業が学んだIT統制に関する教訓、アウトソーシング企業が受託業務の内部統制を証明するSAS70報告書を使用する際の課題などについて触れられているところがCOBIT for SOX第2版の特徴です。
COBIT第4版とCOBIT for SOX第2版の日本語版は日本ITガバナンス協会のサイトでダウンロードできます。
提供:オービックビジネスコンサルタント
![]()
『奉行DOCUMENT Pack』はサンプル文書付。文書化作業を大幅に軽減。
![]()
メルカリで相次ぐ不正行為、どう対処しているのか? 不正対策部門の責任者に直撃
