SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Data Tech 2022

2022年12月8日(木)10:00~15:50

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Reviewスペシャル

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること(後編)

後編

J―SOX初年度監査が進み、各企業では2年目以降の対応に取り組み始めているところだろう。制度対応に終始した初年度に対し、2年目以降は継続を考えた、人・システム・時間等のコストを考え効率的に行うという新たな課題がある。評価の自動化、またIT統制そのものの2年目以降の課題も踏まえ、取り上げる。

初年度は「多少の不備が出ても構わない」オーバースペックの対応を避ける

 前述の通り、IT統括部では2007年度にはガイドライン、2008年度にはIT全般統制のリスク・コントロール・マトリクスなどを作成した。ただ、一般に言われている3点セットについては業務処理統制を担当する内部統制グループが作成し、IT全般統制の3点セットという形では作っていない。業務処理統制の中にIT統制という一覧を設け、そこに統制内容を記入する形にした。

 コンビにおける各業務におけるキーコントロールにITの統制が絡んでいる部分が多くないことも、対応業務の負荷を軽減する一助になっているようだ。初年度の本番監査において、コンビが監査法人から指摘された不備は軽度な数件にとどまり、中でもSAP ERPによる基幹系に不備はなかった。

 IT統制に関しては監査法人のITに詳しい部隊から3名が来ており、キーとなりそうな部分について設定の詳細を質問しながら評価が進められた。場合によっては監査法人の担当者自身が直接データベースを触り、内容をチェックしたという。

 山田氏は「監査法人にとってもSAP ERPはなじみの深いパッケージであり、監査法人ログを取得するツールも用意されている。だから強いところ、弱い部分がよくわかっている」と分析する。たとえば弱くなりうる部分として山田氏が挙げたのが「ロールの設定が非常に複雑」という点であり、その対策としてSAP Business Objects Access ControlのSPMが導入された。

 コンビの初年度におけるJ―SOX対応の基本方針は「極論すれば多少の不備が出ても構わない。重大な欠陥さえなければいい」(山田氏)というものだった。IT統制のガイドラインも目標値として作成したものであり、必ずしも100%満足させなければならないものではなかったという。

 結果として一部の企業で見られたようなオーバースペックの対応は行われず、文書化、3点セットの作成のための負担も、当初の懸念ほどではなかったようだ。そして、その最低限と考えた準備をもとにテストをしてみたところ、結果的に統制が取れていたと証明された業務プロセスが続出した。

 監査法人による評価が開始されたのは2008年秋からだが、7月頃に一度、プレ評価を実施した。そこでやはり複数の課題が表面化し、従来は紙ベースで運用していたものをワークフローに置き換えるなどの準備をしたことも、本番評価が比較的スムーズに進んだ要因となっているようだ。

次のページ
初年度監査を終えて見えてきた課題と対応

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Reviewスペシャル連載記事一覧

もっと読む

この記事の著者

久原 秀夫(クハラ ヒデオ)

フリーランス/ITライター

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/1776 2009/09/17 07:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年12月8日(木)10:00~15:50

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング