ゆるやかなウェブ

« 2006年09月 | メイン | 2006年11月 »

2006年10月30日

ITCO for SOX 第２版 斜読５

全社評価に使う質問表が少し変更されています。
・マネジメントの目的と方向付けで考慮すべき点として5つから3つに変更。
・リスク評価管理として４つから３つへ。質問内容の一部追加。
質問数が２７ポイントから２４ポイントになっていますが、COBITへの
リファランスが明示されたことで全社レベルでのIT環境は把握しやすくなった
でしょう。

IT全般統制の統制目標名が２箇所ほどCOBITに合わせて変更されていますね。

抽象的な質問から全体のIT環境に対する心証を得て、財務報告に関するIT成熟度をどうしていくかは経営者の判断ということになります。

投稿者 masa : 20:18 | コメント (0) | トラックバック

2006年10月27日

ITCO for SOX 第２版９月版

IT Control Objectives for Sarbanes-Oxley 2nd Edition （９月正式版）

上記リンクからダウンロード可能です。

４月の草稿版からさらに３０ページ弱増強されています。
特に：
・範囲とリスク評価にさらに焦点をあてたアプリケーション統制と
　ベンチマーク
・経験
・統制の優先順位
・ロードマップ
・COBIT４．０とのクロスリファランス
　（これ助かりますね)

また一から斜め読みするのも面倒だから、テキスト比較して相違点一覧表出してくれるプログラム使えれば良いのに。PDFじゃ駄目か．．．

この翻訳はあくまで斜め読みによる適当な訳であり、英語の原文に取ってかわるものではありません。

投稿者 masa : 21:19 | コメント (0) | トラックバック

2006年10月26日

ITCO for SOX 第２版 斜読４

補足資料Ｂには、さらに全社レベルでのＩＴ統制指針についての統制の例とテストについての記述は大体第１版と同様ですが、統制目標（オペレーション管理）についてはエンドユーザコンピューティングとして新たに統制目標として抜き出してあります。

財務報告上リスクが高いと思われるものは、今回新たにキーコントロールマークを付けて重大な統制上の要点として例示しています。
例示数としては、以下のようなバランスになっています。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　統制の例示数　　キー･コントロール数
　・アプリケーションソフトウェアの調達
　　　　　　　　　　　　　　　　　または開発　　　　　　　　　　　７　　　　　　　　　　　４
　・技術インフラの調達　　　　　　　　　　　　　　　　　　　　 １　　　　　　　　　　　０
　・方針と手続きの策定と保守　　　　　　　　　　　　　　　　２　　　　　　　　　　　２
　・アプリケーションソフトウェアと技術
　　　　　　インフラの導入およびテスト　　 　　　　　　　　 ４　　　　　　　　　　　３
　・変更管理　　　　　　　　　　　　　　　　　　　　　　　　　　　４　　　　　　　　　　　３

　・サービスレベルの定義と管理　　　　　　　　　　　　　　２　　　　　　　　　　　０
　・サードパーティサービスの管理　　　　　　　　　　　　 ６　　　　　　　　　　　１
　・システムセキュリティの保証　　　　　　　　　　　　　　１３　　　　　　　　　　　７
　・構成管理　　　　　　　　　　　　　　　　　　　　　　　　　　　５　　　　　　　　　　　２
　・問題と事故の管理　　　　　　　　　　　　　　　　　　　　　３　　　　　　　　　　　１
　・データ管理　　　　　　　　　　　　　　　　　　　　　　　　　　６　　　　　　　　　　　２
　・オペレーション管理　　　　　　　　　　　　　　　　　　　　 ３　　　　　　　　　　　１
　・エンドユーザコンピューティング 　　　　　　　　　　　 ５　　　　　　　　　　　５

投稿者 masa : 21:17 | コメント (0) | トラックバック

2006年10月23日

ITCO for SOX 第２版 斜読３

ＩＴ全般統制に関して、補足資料Ｂに全社評価に使う質問表が付いていますが、第１版に比べて大幅に「考慮すべき事項」に関する質問数が減っています。

・計画と組織
　２３ポイント　→　１２
・情報と伝達
　　９ポイント　→　　５
・リスク評価
　　９ポイント　→　　４
・モニタリング
　２５ポイント　→　　６

合計：６６　→　２７

経営層が、全社的な財務報告に関するＩＴ環境を評価するにはこの程度で良いのかもしれません。
これでもＮｏの数が多い企業は大変だけどね。

投稿者 masa : 21:34 | コメント (0) | トラックバック

2006年10月18日

ITCO for SOX 第２版 斜読２

ロードマップの第２フェーズであるリスク評価に関しては、新たに補足資料Fとして固有リスク評価ツールが３種類提供されています。
リスク評価要因として：
　・技術要素
　・人的要素
　・プロセス要素
　・過去の経験
　・財務報告への重大さ
ごとにリスクの大小に関して考慮すべき例が挙げられています。
これらの要因に加えて、サブシステムを通してITリスクを通しで判定する項目も付け加えられています。

もうひとつの表は、PCAOBがらみのIT統制項目と技術構造（アプリ、データベース、OS、ネットワーク、場所）との関係で推奨と任意で優先すべき項目が分かるようになっています。

あくまでトップダウン・リスクアプローチで財務報告の誤謬や虚偽につながりそうな固有リスクの高いものを判断しなさいということです。

投稿者 masa : 20:12 | コメント (0) | トラックバック

2006年10月17日

ITCO for SOX 第２版(草稿） 斜読１

第２版では補足部分がだいぶ増えているので、第１版より分かりやすくなっていると思いますが、少し斜め読みしたいと思います。
今回は：６．準備ロードマップの簡素化（従来の９ステップから６ステップへ)
コンプライアンスを成熟度に見合って企業価値を順次上げていくロードマップが書かれていますが、この各ステップに対応するプロジェクトの日数見積が補足資料Eに参考として取り上げられています。
ロードマップの各フェーズ単位で、大、中、小企業ごとに低目と高めの日数が書かれています。

例えば、SOX法対象となるのが５箇所以下、５～１０アプリケーションを使っているような中堅企業では、
低めで２７日、高めで５５日ぐらいがステップ４の設計上、運用上の有効性評価まで概算かかると見えます。
ステップ５以降は注で記されていますが、トップマネジメントの判断で大きく変わってくるようですね。

トップダウン・リスクアプローチでリスク対象を絞り込んでいれば、ステップ３の統制の文書化まで中堅企業で３５日程度。
当然各企業独自の環境によって、日数に幅が出るということで、あくまで目安値ですね。
有効性評価までの段階で不備がたくさん見つかれば、SOX対応ということでなく、戦略上BPRを視野に入れたプロセス改善にまで大きく踏み込んだ方が、コンプライアンスの持続性という経営成熟度を上げていくことが良いと思いますね。

投稿者 masa : 18:58 | コメント (0) | トラックバック

2006年10月16日

ITCO for SOX 第２版て何？

日本では、COBIT for SOX の方が通りが良いのかも。
少しエグゼクティブサマリーから抜粋：
強化された改訂ポイント：
１．SOX法に従う場合、考慮される必要のあるヒューマン・ファクターに焦点を当てている。
２．コントロールの順序付け
　　キー・コントロールとすることで重要なものが分かるようにしている。
３．トップダウン・リスクアプローチの適用で評価範囲とリスク評価への焦点を強化している。
４．アプリケーション統制のガイダンスを強化している。
５．表計算ソフトへのアプローチ：ガイダンス
６．準備ロードマップの簡素化（従来の９ステップから６ステップへ)
７．企業のコンプライアンス経験の追加

日本版SOX法に関連する実施基準がどうなるか分かりませんが、これから少しの間、上記のITCO for SOX を読んでみようと思います。
翻訳については責任を持ちませんので、興味のある方は原文に当たって頂けると幸いです。

投稿者 masa : 21:21 | コメント (0) | トラックバック