J−SOX法によれば、IT統制の評価は企業の経営者自らが行なうことになります。当社はその経営者による「IT統制の評価」を様々な角度から支援します。
2.サービスの目的
経営者様が「IT統制の評価」を行なうに当って、どのような基準や考え方に基づいて、IT統制を整備したのかを明確にし、その理由を説明できるようにすることが重要になります。
また、内部統制の評価範囲の決定方法および根拠は適切に記録しなければなりません。
さらに、不備およびその是正措置に関しては記録し保存することが求められています。
当社は以上のような、貴社のIT統制の「見える化」を支援します。
(貴社のメリットの例)
・IT統制の診断により顕在化した不備の是正のための適切な助言や支援を得ることができます。
・期末における貴社による「内部統制の有効性評価」の根拠等が明確になり、その信頼性が向上します。
3.具体的な支援内容
具体的な支援内容については、診断サービス終了時点でその結果や、貴社の各種状況を勘案の上、協議して決定するものとします。
(コンサルティングの基本方針)
@貴社の主体性の発揮を尊重
Aオーバーコントロールの回避
BIT統制の維持管理可能性を考慮
CIT業務処理統制の標準化指向
D財務報告に係るIT統制に注目し計画的に実施
(コンサルティングの項目例)
@現状、不備是正後の文書化の支援
リスクコントロールマトリックス(RCM)等の作成支援
A把握された不備への対応・欠陥の是正を支援
現状分析で発見された、内部統制上の重大な不備への対応・欠陥の是正実施を支援
B内部統制の整備状況と運用状況のテスト・評価を支援
重要な内部統制について文書化されたとおりにデザインされているかを評価し、実際に文書化された通りに運用されているかをテストし、運用上の有効性評価を支援します。
C内部統制の運用状況のモニタリングの継続を支援
(参考)IT内部統制評価の流れ
@ 評価対象とするIT の範囲の決定
A ITに関するリスクへの評価及び対応
B IT統制の評価
・IT全社的統制の評価
・業務プロセスに係るIT統制の評価
IT全般統制
IT業務処理統制
C IT統制の有効性の判断、記録と保存
D 財務情報に係るIT統制の評価結果の分析と対応の優先度付け
(@〜Dの過程で適時に会計監査人と協議する必要があります。)
財務報告とIT統制の関係は以下を参照(クリックで拡大)
・内部統制整備のポイント: