1.サービスの概要
2008年4月からの会計年度に適用される日本版SOX法に対応するための評価サービス。
2007年2月15日に金融庁から発表された、「財務報告に係る内部統制の評価及び監査の基準及び同実施基準」に照らして貴社の内部統制の整備状況、運用状況の有効性を診断・評価し、不備(特に初年度における重大な欠陥)の是正をご支援します。
2.サービスの目的
現状の、財務報告に係るIT統制を診断することにより、不備とリスクの程度明らかにし、貴社が、不備の是正を効率的に行なえるようにします。
(貴社のメリットの例)
・一般にブラックボックスになりがちなIT統制を主な対象とした評価により、財務報告に係る内部統制上の不備やリスクの程度を知ることができます。
・課題の優先度と必要なコントロールが明確になるので、貴社による内部統制整備・運用改善を効率的に行なうことができます。
3.内部統制評価の範囲と評価の視点
(1)IT全社的統制
IT全社的統制は、経営レベルでの「ITへの対応」です。
日本版SOX法(内部統制フレームワーク)の6つの基本的要素の内、「ITへの対応」を中心に企業全体のITに係る方針・計画・手続等の状況を調査し評価します。
(2)IT全般統制
IT全般統制はIT基盤ごとのIT統制です。
システム管理基準(経済産業省から公表されている追補判等)やCOBITforSOX(米国ガバナンス協会から公表されているチェックリスト ) 等をベースに評価します。
【実施基準における4つの統制項目の例示】
@ITの開発、保守に係る管理(開発管理)
Aシステムの運用・管理
B内外からのアクセス管理等のシステムの安全性の確保
C外部委託に関する契約の管理
(3)IT業務処理統制
財務報告に係る主要プロセス(販売、購買、固定資産、会計業務等)毎に以下の視点から評価します。
@入力情報の完全性、正確性、正当性を確保する統制
A例外処理(エラー)の修正と再処理
Bマスターデータの維持管理
Cシステム利用に関する認証、捜査範囲などアクセスの管理
財務報告とIT統制の関係は以下を参照(画像クリックで拡大)
4.IT統制の評価手順
IT全社的統制は、IT全般統制やIT業務処理統制の評価の前提となる評価対象業務の決定などに影響があり、全社的内部統制と一体で評価を行います。ここではIT全般統制からIT業務処理統制までの評価の一般的な手順を記載します。
@評価対象業務の利用する情報システムの把掘
重要な業務プロセスが利用する情報システムについて、システムの機能の概要及びIT基盤の概要を整理、把握します。IT基盤としては、IT組織の構成、IT関連規程類、ハードウエア・OS・ネットワークの構成、外部委託の状況などがあります。各業務プロセスで使用するシステムの一覧や、システム間のデータの流れを明確にしたシステム関連図等を作成すると良いでしょう。
A財務報告への影響度評価と評価対象システムの決定
把握した各情報システムが財務報告に与える影響の大きさを、システムが扱う財務データの金額、影響範囲、利用目的などから総合的に評価します。その評価結果から、重要な財務データに影響を与えるシステムを評価対象システムとして選定します。
BIT全般統制の評価(不備の検討と是正の可否)
評価対象システムのIT全般統制の状況を文書化し、有効性を評価します。IT全般統制に不備があった場合には、不備が財務報告に与える影響度から重要性を評価し、重要性の高い不備の場合は是正が可能か否か検討します。
IT全般統制の不備は、直ちに内部統制上の重要な欠陥とはなりませんが、IT業務処理統制の評価に影響があります。
CIT業務処理統制の評価
IT業務処理統制は、業務プロセスにかかる内部統制の中で評価します。IT全般統制が有効な場合は、IT業務処理統制の有効性評価時にサンプル件数を少なくしたり、過去の評価結果を継続利用できることがあります。
5.IT統制の有効性の評価
サービス案内: