TK
Uploaded byTakahiro Kitajima
PDF, PPTX2,933 views

内部統制資料(Sox法)

Embed presentation

Download as PDF, PPTX
企業統制活動 説明資料
内部統制(internal control) ・内部統制とは? 社会に大きな影響を与える違法行為から小さな不正、間違った財務会計が企業で行われな いようにするために必要とされる基準と手続きであり、その手続きが正しく運用されていること を監査し証明することである。 最近、内部統制という言葉が飛び交うようになった背景として、必ずといっていいほど取り上 げられるのが「会計不祥事」である。代表的な例として下記のような出来事がある。 ・2001年12月に破綻したエンロンの会計不祥事 ・米ワールドコムの会計不祥事(ワールドコムの負債金額は米国史上最大といわれる約4兆7000億円) ・日本では西武鉄道やカネボウの不祥事 つまり、第2のエンロンやワールドコムを作らないための内部統制と言える。 ※内部統制を義務付けるものとしてSOX法がある。
SOX法 ・SOX法とは? 米国で2002年7月に制定された法律。この法律により、米証券取引委員会(SEC)に登録 されている全ての企業の経営者は、年次報告書を開示する際、内容に虚偽記載がない事を 宣言するとともに、財務報告書の健全性を保つ為に、内部統制報告書の作成を義務づけられ ている。 さらにこれらの報告書は、公認会計士等の監査を受けることが義務づけられている。 ・JSOX(日本語版SOX)法とは? 実際には、日本版SOX法は存在しない。その代わりに日本はこの法律をお手本にした「金 融商品取引法」と「会社法」が内部統制を義務化している。 日本版SOX法と呼ばれている金融商品取引法では、「内部統制報告書の作成」と「内部統 制報告書に対する監査証明の義務付け」がある。日本版SOX法では経営者にこのプロセス を整備、運用し、有効性を自ら評価し結果を報告する、そしてこの経営者による一連の流れを 監査人により監査することを求めている。 これらは上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化 を求めている。 ※ 金融商品取引法では「2008年4月以降に開始する事業年度から」内 部統制報告書の提出・監査を義務付ける。
日米SOX法の比較 米国 日本 企業改革法(SOX法) 金融商品取引法 法律 2002年7月30日成立 2006年6月7日成立 500万ドル以下の罰金又は 5年以下の懲役もしくは 罰則 20年以下の禁固刑、又はその併科 500万円以下の罰金、又はこれの併科 対象企業 時価総額0.75億ドル以上の企業 すべての上場企業 トップダウン型の 評価の範囲 ほぼすべて リスクアプローチ 株価主体 経営者+外部監査人監査 経営者+外部監査人監査 ダイレクト ○ × レポーティング 内部統制監査 別々の監査法人 同一の監査法人 /会計監査 不備の区分 重大な欠陥、重大な不備、軽微な不備 重大な欠陥、不備 ITへの言及 無し ITへの対応
やるべきこととは? ・JSOX法で行うべきこと ・システム部門の業務を見直して、問題点を洗い出す。 ・これまでやってきたことをより徹底する。 ・やるべきだと自覚しているがまだ手を付けていなかったことを実行する。 ・監査用の文書を作成する。 業務フロー図 RCM(リスクコントロールマトリスク) ・内部統制で行うべきこと リスク 影響 対策 状況 内部統制では3つ文書化を行う。 1.○○ ×× ・・・・・・ ・・・・・ ・3つの文書化とは? 2.○○ ×× ・・・・・・ ・・・・・ 1.業務フロー図の作成 3.○○ ×× ・・・・・ ・・・・・・ 部署名 業務内容 2.業務記述書の作成 ○○部 ・・・・・・・・・・・・・・・・・・・・・・ 3.リスクコントロールマトリスクの作成 ××部 ・・・・・・・・・・・・・・・・・・・・・・ 営業部 ・・・・・・・・・・・・・・・・・・・・・・ セキュリティ部 ・・・・・・・・・・・・・・・・・・・・・・
内部統制対応までのフロー 1.業務分析と業務整備 現状業務の分析 準備 ドキュメント:業務マニュアル、報告書等 業務内容・マニュアルの整備 2.業務改善・最適化 業務フローの作成 ドキュメント:業務フロー、業務範囲表 業務範囲表の作成 3.リスク評価と試行 RCM(リスク管理表)の作成 ドキュメント:リスクコントロールマトリックス(RCM) 4.レビューと試行 業務ウォークスルー(必要なものとして ドキュメント:改善レポート 業務フロー、業務マニュアル等) 運用 (通年) 5.業務遂行と内部統制 業務活動、統制活動 ドキュメント:業務記録、統制活動記録 繰り返し 業務処理記録 6.モニタリング 定期的な内部監査 ドキュメント:内部監査レポート 報告 7.内部統制報告 内部統制報告書の作成 (期末) ドキュメント:内部統制報告書
対策 ・現状把握・問題 日本版SOX法を巡る動きが加速している。2009年3月期からの対応が見込まれ、残され た準備期間はそれほど多くありません。この限られた時間の中で、企業は会計監査制度 の充実と企業の内部統制強化をどのように行っていけば良いのか? ・具体的対策 内部統制の実施には、ITレベルでの対応も必要になってきます。企業規模や業務の成熟 度によって程度の差はあれ、日本版SOX法対応にある程度の投資は避けられません。であ れば、同法の狙いを汲み取り企業競争力を強化するIT統制の対策が必要になります。 そこで注目されるのが、ITIL、COBIT、ISO20000などのフレームワークです。 SOX法の要求 事項とITILやCOBITが目指す方向性には共通点が多く、ITILやCOBITのような標準的なフ レームワークを活用することでSOX法への対応負荷を軽減できる。
ITIL、COBIT、ISO2000の概要 ・ITILとは(Information Technology Infrastructure Library) 英国政府機関が作成・文書化したITサービス管理のベストプラクティス(成功事例)集です。ITサービスの運用や保守を効 率的に実践していくためのノウハウがまとめられ、欧米では行政機関や企業を中心に導入が広がり、ITサービス管理分野で の事実上の標準となっている。 ITILは、「サービスサポート」「サービスデリバリ」「ITインフラ管理」「ビジネス展望」「アプリ ケーション管理」「セキュリティ管理」「サービス管理導入計画」「ソフトウェア資産管理の」の8つのパートで構成されている。 ITILを導入し活用することで、ITサービスの品質向上やサービスレベルの適正化につながることが期待されている。 ・COBITとは(Control Objectives for Information and related Technology) 米国の情報システムコントロール協会が提唱するITガバナンスの成熟度を測るフレームワークです。COBITでは開発側・ 利用側双方をマネジメントすることで、セキュアな環境の下、ITを積極活用できる体制作りの指標を提示している。 COBITは、 ITの企画から運用に至るまでのフローを4つの管理プロセスと34のITプロセスとして定義し、それぞれのプロセスについて、 重要成功要因と、その成熟度レベルを6段階で定義される。 IT組織の成熟度を測るモデルとしてはほかにCMMなどが有名 ですが、COBITでは「リスク」という概念が強く打ち出されていることと、ベンダからの「IT調達」を前提にしているという特徴が ある。 すでにどこの企業もこの認証を目指している! ・ISO20000とは ITサービスマネジメント(ITSM)に関する英国規格BS15000をベースとして開発された国際規格です。組織が効果的かつ効 率的に管理されたITサービスを実施するためのフレームワークと評価仕様を示している。この規格に基づくマネジメントシス テムは、IT部門が組織内部に導入することも、ITサービスを提供する企業が外部から実施することもできます。 BS15000は、 ITSMを対象とした世界初の唯一の監査用の仕様です。英国商務局(OGC)がITインフラストラクチャライブラリ(ITIL)の中で定 義したプロセスアプローチと整合しており、かつ補完し合うものです。そしてITサービス業界が認めた規格であり、ベストプラ クティスを実践し、達成するための最新の方法でもある。
ITILとCOBIT、SOX法との関係 ・SOX法対応→COSO準拠→COBIT準拠→ITIL準拠という一気通関のシナリオ 企業統制の源泉 ・米国トレッドウェイ組織委員会(COSO)で策定された内部統制フレー COSO ムワーク 源泉 法律(義務) SOX法 ・COSOを源泉としてSOX法が制定 ITの成熟度の測定基準 保証 ・COBIT(統制活動の基準とするフレームワーク)で、IT内部統制の達 COBIT 成度合い(成熟度)を測定する 改善 IT運用における参考書 ITIL ・ITIL(ベストプラティクス)を参考に、COBITの成熟度を高める ※1 ⽇本版SOX法(⽶SOX法も)は、内部統制のフレームワーク「COSO」に準拠している。 ※2 COSOの構成要素はITガバナンスのフレームワーク「COBIT」と対応付けられている。 ※3 COBITが定めた管理⽬標を現場の運⽤に落とし込むときにITILに照らし合わせる。
まとめ つまり、ITサービスをコントロールしビジネス に効果をもたらすIT運用が求められる。 法律や経営者からの内部統制に対する要求 しかし、 企業の担当者はやり方がわからずに困って いる。 企業の担当者メンバー そこで、 ハードウェア 導入計画 環境 サービス マネジメント ネットワーク ITILやCOBITなどのグローバルスタンダー サービスサポート 顧客 テ ドのマネジメントフレームワークを活用する。 ビ ビジネスの 展望 ICTインフラ 管理 ク ユーザ ジ ノ ネ ロ ス サービスデリバリ セキュリティ管理 ジ サービス ー 製品 アプリケーション管理 データベース ソフトウェア資産管理 ソフトウェア
おわりに 本資料ではあくまでも概要であり、内部統制活動に対して一部の説明にしかすぎない。 現在すでにIT業界のみならず社会全体がセキュリティエリア(ISMS)に続いてITサービス マネジメント(ITSM)系エリアにおける人材の確保とスキルの強化が必要不可欠であると 考えられる。今後、是非この資料をきっかけにITSMを学んで頂きたい。

More Related Content

PDF
Plantas Frames Residence
byINVEXO Imobiliária
 
PPTX
NEOM BY Jahanzaib Ahmad
byJahanzaibAhmad13
 
PDF
Information brochure Floating Pavilion Rotterdam
byRutger De Graaf-van Dinther
 
PPTX
What You Need to Know about Saudi Arabia’s Planned City of Neom
byDr. Ehsan Bayat
 
PDF
Proximity Hotel
bycphillips123
 
PPT
Della Resorts & Villas Launching Phase IV and V
byVikas Tailor
 
PDF
Hotel Devi Ratn by Taj Selections
byIWP - Indian Wedding Planners
 
PPTX
Burj al arab by oubaid majeed
byjunaid bashir
 
Plantas Frames Residence
byINVEXO Imobiliária
 
NEOM BY Jahanzaib Ahmad
byJahanzaibAhmad13
 
Information brochure Floating Pavilion Rotterdam
byRutger De Graaf-van Dinther
 
What You Need to Know about Saudi Arabia’s Planned City of Neom
byDr. Ehsan Bayat
 
Proximity Hotel
bycphillips123
 
Della Resorts & Villas Launching Phase IV and V
byVikas Tailor
 
Hotel Devi Ratn by Taj Selections
byIWP - Indian Wedding Planners
 
Burj al arab by oubaid majeed
byjunaid bashir
 

What's hot

PPTX
CASE STUDY in j (tree,land,urb2>(1).pptx
bymanarfcb13
 
PPTX
Case Study On Parametric architecture
byShraddhaGholap2
 
PDF
Beijing daxing international airport world's first airport with single terminal
byarchitecturesideas
 
PPTX
CASE STUDY GROUP 2_Highrise Study_01.pptx
byzerfjafnat
 
PDF
The Imperium at Capitol Commons
byThe Ortigas Specialists
 
PDF
Case study siam ricem
bysidharth thepra
 
PDF
Lumira Project Presentation Feb. 2015
bysevenseaspropertycorp
 
PPTX
Paramount golf foreste
bySomya23
 
PDF
Red sea brochure
byEgypt Tourism Board
 
PPTX
LITERATURE CASESTUDY: SAMUNDRA INSTITUTE OF MARITIME STUDIES & CORNELL TECH C...
byChandana R
 
PDF
Community park (cl)
bychristinelee1996
 
PDF
Landscape rajghat
byAbu Shahma Rasheed
 
PPTX
CONFERENCE ROOM
byvineeta thakur
 
PPTX
RESORT CASE STUDY
byAnjalikakde2
 
PPTX
Cn tower.. a detailed study
byMelbin Biju
 
PDF
Avante Mumbai, Buy 1-2 BHK Flats in Kanjurmarg, Buy New Properties
bySheth Corp: Real Estate Project Developers and Builders in Mumbai
 
PPTX
Presentation on wildlife - Akib Sumon
byAkib Sumon
 
CASE STUDY in j (tree,land,urb2>(1).pptx
bymanarfcb13
 
Case Study On Parametric architecture
byShraddhaGholap2
 
Beijing daxing international airport world's first airport with single terminal
byarchitecturesideas
 
CASE STUDY GROUP 2_Highrise Study_01.pptx
byzerfjafnat
 
The Imperium at Capitol Commons
byThe Ortigas Specialists
 
Case study siam ricem
bysidharth thepra
 
Lumira Project Presentation Feb. 2015
bysevenseaspropertycorp
 
Paramount golf foreste
bySomya23
 
Red sea brochure
byEgypt Tourism Board
 
LITERATURE CASESTUDY: SAMUNDRA INSTITUTE OF MARITIME STUDIES & CORNELL TECH C...
byChandana R
 
Community park (cl)
bychristinelee1996
 
Landscape rajghat
byAbu Shahma Rasheed
 
CONFERENCE ROOM
byvineeta thakur
 
RESORT CASE STUDY
byAnjalikakde2
 
Cn tower.. a detailed study
byMelbin Biju
 
Avante Mumbai, Buy 1-2 BHK Flats in Kanjurmarg, Buy New Properties
bySheth Corp: Real Estate Project Developers and Builders in Mumbai
 
Presentation on wildlife - Akib Sumon
byAkib Sumon
 

Viewers also liked

PPT
IT全般統制の継続的強化
byUNIRITA Incorporated
 
PDF
サービスデスクの効果を出すための仕組みづくり
byUNIRITA Incorporated
 
PPTX
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
byWebSig24/7
 
PPTX
8. internal control new
bySyed Osama Rizvi
 
PPTX
Internal control system
byHina Varshney
 
PPT
SOX compliance - Understanding Sarbanes-Oxley
byAmarnath Gupta
 
PDF
情報システム部門のタスク管理とIT全般統制 ~ Excel管理からの脱却 ~ (ITS Redmine #RxTstudy #5)
byKuniharu(州晴) AKAHANE(赤羽根)
 
PPT
Sarbanes-Oxley Act (SOX)
byvinaya.hs
 
PPTX
Internal controls in auditing
byHardik Shah
 
PDF
運用業務でのRedmine
byTomohisa Kusukawa
 
IT全般統制の継続的強化
byUNIRITA Incorporated
 
サービスデスクの効果を出すための仕組みづくり
byUNIRITA Incorporated
 
上司が信用できない会社の内部統制~第32回WebSig会議「便利さと、怖さと、心強さと〜戦う会社のための社内セキュリティ 2013年のスタンダードとは?!...
byWebSig24/7
 
8. internal control new
bySyed Osama Rizvi
 
Internal control system
byHina Varshney
 
SOX compliance - Understanding Sarbanes-Oxley
byAmarnath Gupta
 
情報システム部門のタスク管理とIT全般統制 ~ Excel管理からの脱却 ~ (ITS Redmine #RxTstudy #5)
byKuniharu(州晴) AKAHANE(赤羽根)
 
Sarbanes-Oxley Act (SOX)
byvinaya.hs
 
Internal controls in auditing
byHardik Shah
 
運用業務でのRedmine
byTomohisa Kusukawa
 

Similar to 内部統制資料(Sox法)

PDF
CISO Mind Map v10(日本語版)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
PDF
IT投資のオペレーション・マネジメントの価値
byTetsu Kawata
 
PDF
男It番長 セキュリティチェックリスト
by小島 規彰
 
KEY
セキュリティとコンプライアンスプログラムについて
byToshiboumi Ohta
 
PPTX
ISO15504ベースのアセスメントフレームワーク TIPA for ITIL<sup>®</sup>
byITプレナーズ マーケティングチーム
 
PDF
Introduction of Business Models in Requirement Development
byKent Ishizawa
 
PDF
要求開発の発展と展開、そして課題
byKent Ishizawa
 
PDF
HSM_J_1.4.12
byHemant_Kumar_Setya
 
PPT
120530 bpmnサマリ
byKenji Hiramoto
 
PDF
セキュリティ商品サービスの購買【選定眼】支援
byShigehiko NIIKURA
 
PPT
110518_本気で考える! I T人財育成研究部会 討議資料
bykashima yasuyuki
 
PDF
20110523 web戦略会議 it leaders
byloftwork
 
PDF
20110523 itl
byloftwork
 
PDF
Ci&T Anti-Software Factory Pattern
byYoshiyuki Ueda
 
PDF
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
byアシストマイクロ株式会社
 
PDF
「事業と一体化するシステム…」桑原里恵
bySapporo Sparkle k.k.
 
PDF
教育側から見たセキュリティ人材教育の「明日はどっちだ」
byYutaka Yasuda
 
PDF
HSM_J_19.3.12
byHemant_Kumar_Setya
 
PPT
120620 ciopmo
byKenji Hiramoto
 
PDF
男It番長 it投資評価のすすめ
by小島 規彰
 
CISO Mind Map v10(日本語版)
byTomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE
 
IT投資のオペレーション・マネジメントの価値
byTetsu Kawata
 
男It番長 セキュリティチェックリスト
by小島 規彰
 
セキュリティとコンプライアンスプログラムについて
byToshiboumi Ohta
 
ISO15504ベースのアセスメントフレームワーク TIPA for ITIL<sup>®</sup>
byITプレナーズ マーケティングチーム
 
Introduction of Business Models in Requirement Development
byKent Ishizawa
 
要求開発の発展と展開、そして課題
byKent Ishizawa
 
HSM_J_1.4.12
byHemant_Kumar_Setya
 
120530 bpmnサマリ
byKenji Hiramoto
 
セキュリティ商品サービスの購買【選定眼】支援
byShigehiko NIIKURA
 
110518_本気で考える! I T人財育成研究部会 討議資料
bykashima yasuyuki
 
20110523 web戦略会議 it leaders
byloftwork
 
20110523 itl
byloftwork
 
Ci&T Anti-Software Factory Pattern
byYoshiyuki Ueda
 
予測不能な時代に、今 企業が実践すべきBCPとは?|アシストマイクロ
byアシストマイクロ株式会社
 
「事業と一体化するシステム…」桑原里恵
bySapporo Sparkle k.k.
 
教育側から見たセキュリティ人材教育の「明日はどっちだ」
byYutaka Yasuda
 
HSM_J_19.3.12
byHemant_Kumar_Setya
 
120620 ciopmo
byKenji Hiramoto
 
男It番長 it投資評価のすすめ
by小島 規彰
 

内部統制資料(Sox法)

  • 1.
  • 2.
    内部統制(internal control) ・内部統制とは? 社会に大きな影響を与える違法行為から小さな不正、間違った財務会計が企業で行われな いようにするために必要とされる基準と手続きであり、その手続きが正しく運用されていること を監査し証明することである。 最近、内部統制という言葉が飛び交うようになった背景として、必ずといっていいほど取り上 げられるのが「会計不祥事」である。代表的な例として下記のような出来事がある。 ・2001年12月に破綻したエンロンの会計不祥事 ・米ワールドコムの会計不祥事(ワールドコムの負債金額は米国史上最大といわれる約4兆7000億円) ・日本では西武鉄道やカネボウの不祥事 つまり、第2のエンロンやワールドコムを作らないための内部統制と言える。 ※内部統制を義務付けるものとしてSOX法がある。
  • 3.
    SOX法 ・SOX法とは? 米国で2002年7月に制定された法律。この法律により、米証券取引委員会(SEC)に登録 されている全ての企業の経営者は、年次報告書を開示する際、内容に虚偽記載がない事を 宣言するとともに、財務報告書の健全性を保つ為に、内部統制報告書の作成を義務づけられ ている。 さらにこれらの報告書は、公認会計士等の監査を受けることが義務づけられている。 ・JSOX(日本語版SOX)法とは? 実際には、日本版SOX法は存在しない。その代わりに日本はこの法律をお手本にした「金 融商品取引法」と「会社法」が内部統制を義務化している。 日本版SOX法と呼ばれている金融商品取引法では、「内部統制報告書の作成」と「内部統 制報告書に対する監査証明の義務付け」がある。日本版SOX法では経営者にこのプロセス を整備、運用し、有効性を自ら評価し結果を報告する、そしてこの経営者による一連の流れを 監査人により監査することを求めている。 これらは上場企業およびその連結子会社に、会計監査制度の充実と企業の内部統制強化 を求めている。 ※ 金融商品取引法では「2008年4月以降に開始する事業年度から」内 部統制報告書の提出・監査を義務付ける。
  • 4.
    日米SOX法の比較 米国 日本 企業改革法(SOX法) 金融商品取引法 法律 2002年7月30日成立 2006年6月7日成立 500万ドル以下の罰金又は 5年以下の懲役もしくは 罰則 20年以下の禁固刑、又はその併科 500万円以下の罰金、又はこれの併科 対象企業 時価総額0.75億ドル以上の企業 すべての上場企業 トップダウン型の 評価の範囲 ほぼすべて リスクアプローチ 株価主体 経営者+外部監査人監査 経営者+外部監査人監査 ダイレクト ○ × レポーティング 内部統制監査 別々の監査法人 同一の監査法人 /会計監査 不備の区分 重大な欠陥、重大な不備、軽微な不備 重大な欠陥、不備 ITへの言及 無し ITへの対応
  • 5.
    やるべきこととは? ・JSOX法で行うべきこと ・システム部門の業務を見直して、問題点を洗い出す。 ・これまでやってきたことをより徹底する。 ・やるべきだと自覚しているがまだ手を付けていなかったことを実行する。 ・監査用の文書を作成する。 業務フロー図 RCM(リスクコントロールマトリスク) ・内部統制で行うべきこと リスク 影響 対策 状況 内部統制では3つ文書化を行う。 1.○○ ×× ・・・・・・ ・・・・・ ・3つの文書化とは? 2.○○ ×× ・・・・・・ ・・・・・ 1.業務フロー図の作成 3.○○ ×× ・・・・・ ・・・・・・ 部署名 業務内容 2.業務記述書の作成 ○○部 ・・・・・・・・・・・・・・・・・・・・・・ 3.リスクコントロールマトリスクの作成 ××部 ・・・・・・・・・・・・・・・・・・・・・・ 営業部 ・・・・・・・・・・・・・・・・・・・・・・ セキュリティ部 ・・・・・・・・・・・・・・・・・・・・・・
  • 6.
    内部統制対応までのフロー 1.業務分析と業務整備 現状業務の分析 準備 ドキュメント:業務マニュアル、報告書等 業務内容・マニュアルの整備 2.業務改善・最適化 業務フローの作成 ドキュメント:業務フロー、業務範囲表 業務範囲表の作成 3.リスク評価と試行 RCM(リスク管理表)の作成 ドキュメント:リスクコントロールマトリックス(RCM) 4.レビューと試行 業務ウォークスルー(必要なものとして ドキュメント:改善レポート 業務フロー、業務マニュアル等) 運用 (通年) 5.業務遂行と内部統制 業務活動、統制活動 ドキュメント:業務記録、統制活動記録 繰り返し 業務処理記録 6.モニタリング 定期的な内部監査 ドキュメント:内部監査レポート 報告 7.内部統制報告 内部統制報告書の作成 (期末) ドキュメント:内部統制報告書
  • 7.
    対策 ・現状把握・問題 日本版SOX法を巡る動きが加速している。2009年3月期からの対応が見込まれ、残され た準備期間はそれほど多くありません。この限られた時間の中で、企業は会計監査制度 の充実と企業の内部統制強化をどのように行っていけば良いのか? ・具体的対策 内部統制の実施には、ITレベルでの対応も必要になってきます。企業規模や業務の成熟 度によって程度の差はあれ、日本版SOX法対応にある程度の投資は避けられません。であ れば、同法の狙いを汲み取り企業競争力を強化するIT統制の対策が必要になります。 そこで注目されるのが、ITIL、COBIT、ISO20000などのフレームワークです。 SOX法の要求 事項とITILやCOBITが目指す方向性には共通点が多く、ITILやCOBITのような標準的なフ レームワークを活用することでSOX法への対応負荷を軽減できる。
  • 8.
    ITIL、COBIT、ISO2000の概要 ・ITILとは(Information TechnologyInfrastructure Library) 英国政府機関が作成・文書化したITサービス管理のベストプラクティス(成功事例)集です。ITサービスの運用や保守を効 率的に実践していくためのノウハウがまとめられ、欧米では行政機関や企業を中心に導入が広がり、ITサービス管理分野で の事実上の標準となっている。 ITILは、「サービスサポート」「サービスデリバリ」「ITインフラ管理」「ビジネス展望」「アプリ ケーション管理」「セキュリティ管理」「サービス管理導入計画」「ソフトウェア資産管理の」の8つのパートで構成されている。 ITILを導入し活用することで、ITサービスの品質向上やサービスレベルの適正化につながることが期待されている。 ・COBITとは(Control Objectives for Information and related Technology) 米国の情報システムコントロール協会が提唱するITガバナンスの成熟度を測るフレームワークです。COBITでは開発側・ 利用側双方をマネジメントすることで、セキュアな環境の下、ITを積極活用できる体制作りの指標を提示している。 COBITは、 ITの企画から運用に至るまでのフローを4つの管理プロセスと34のITプロセスとして定義し、それぞれのプロセスについて、 重要成功要因と、その成熟度レベルを6段階で定義される。 IT組織の成熟度を測るモデルとしてはほかにCMMなどが有名 ですが、COBITでは「リスク」という概念が強く打ち出されていることと、ベンダからの「IT調達」を前提にしているという特徴が ある。 すでにどこの企業もこの認証を目指している! ・ISO20000とは ITサービスマネジメント(ITSM)に関する英国規格BS15000をベースとして開発された国際規格です。組織が効果的かつ効 率的に管理されたITサービスを実施するためのフレームワークと評価仕様を示している。この規格に基づくマネジメントシス テムは、IT部門が組織内部に導入することも、ITサービスを提供する企業が外部から実施することもできます。 BS15000は、 ITSMを対象とした世界初の唯一の監査用の仕様です。英国商務局(OGC)がITインフラストラクチャライブラリ(ITIL)の中で定 義したプロセスアプローチと整合しており、かつ補完し合うものです。そしてITサービス業界が認めた規格であり、ベストプラ クティスを実践し、達成するための最新の方法でもある。
  • 9.
    ITILとCOBIT、SOX法との関係 ・SOX法対応→COSO準拠→COBIT準拠→ITIL準拠という一気通関のシナリオ 企業統制の源泉 ・米国トレッドウェイ組織委員会(COSO)で策定された内部統制フレー COSO ムワーク 源泉 法律(義務) SOX法 ・COSOを源泉としてSOX法が制定 ITの成熟度の測定基準 保証 ・COBIT(統制活動の基準とするフレームワーク)で、IT内部統制の達 COBIT 成度合い(成熟度)を測定する 改善 IT運用における参考書 ITIL ・ITIL(ベストプラティクス)を参考に、COBITの成熟度を高める ※1 ⽇本版SOX法(⽶SOX法も)は、内部統制のフレームワーク「COSO」に準拠している。 ※2 COSOの構成要素はITガバナンスのフレームワーク「COBIT」と対応付けられている。 ※3 COBITが定めた管理⽬標を現場の運⽤に落とし込むときにITILに照らし合わせる。
  • 10.
    まとめ つまり、ITサービスをコントロールしビジネス に効果をもたらすIT運用が求められる。 法律や経営者からの内部統制に対する要求 しかし、 企業の担当者はやり方がわからずに困って いる。 企業の担当者メンバー そこで、 ハードウェア 導入計画 環境 サービス マネジメント ネットワーク ITILやCOBITなどのグローバルスタンダー サービスサポート 顧客 テ ドのマネジメントフレームワークを活用する。 ビ ビジネスの 展望 ICTインフラ 管理 ク ユーザ ジ ノ ネ ロ ス サービスデリバリ セキュリティ管理 ジ サービス ー 製品 アプリケーション管理 データベース ソフトウェア資産管理 ソフトウェア
  • 11.
    おわりに 本資料ではあくまでも概要であり、内部統制活動に対して一部の説明にしかすぎない。 現在すでにIT業界のみならず社会全体がセキュリティエリア(ISMS)に続いてITサービス マネジメント(ITSM)系エリアにおける人材の確保とスキルの強化が必要不可欠であると 考えられる。今後、是非この資料をきっかけにITSMを学んで頂きたい。