ITプロセス統制の要件-その1
今回は、「ITプロセス統制の要件」の中で、「プロセスコントロールの要件」について、述べてみようと思います。
ITプロセスに対する要求を確実に成し遂げるためには、プロセスコントロールのための実施手続を導入し、その手続が確実に実施されなければなりません。
ITプロセスの要件を実施目標や実施手続に展開する必要があります。
Archive for 10月, 2008
ITプロセス統制の要件-その2
「ITプロセス統制の要件」の中で、「ビジネスコントロールとITコントロール」について、述べてみようと思います。
米国の内部統制は、COSOの規定に従いますので日本版SOX法の内部統制とは異なります。「財務報告の信頼性」の前に「業務の有効性、効率性」があります。COBITはCOSO の規定に従いますので、ビジネス目標が最終目標として位置づけているわけです。
(注)COSOとはトレッドウェイ委員会組織委員会で内部統制フレームワークの事実上の世界標準となる枠組みを公表しているところです。
ITプロセス統制の要件-業務処理統制その1
今回は、「ITプロセス統制の要件」の中で、COBITの「業務処理統制」について、述べてみようと思います。
COBITでは、業務処理統制でのコントロール事項を5点挙げています。
「データの作成と認可」、「データの入力」、「データ処理」、「データ出力」、「境界」のコントロールです。日本版のIT統制では「境界」のコントロールはありません。
それぞれの統制すべき作業内容を規定しています。順番にみていきましょう。
ITプロセス統制の要件-業務処理統制その2
今回は、「ITプロセス統制の要件」の中で、COBITの「業務処理統制」の続きを、述べてみようと思います。
(3)「データ処理コントロール」では、3つのコントロール項目があります。
★「AC9 データ処理のインテグリティ」
データ処理手続において職務分離が維持され、実施作業が定期的に確認され、更新
コントロールが整備されていることが手続として保証されることをいいます。
IT成熟度モデル-その1
今回は、COBIT4.0で取り上げている「IT成熟度モデルの全体像と一般成熟度モデル」を取り上げてみようと思います。
企業の基本的な要件として、ITシステムの現状を把握し、“どのレベルの管理が必要か”を判断することが出てきます。
その適正な管理レベルを決定するために、COBITでは、ITプロセスの管理レベルの決定すべき要因を検討しています。
IT成熟度モデル-その2
今回は、成熟度モデル実践基準と成熟度モデルの属性を取り上げてみようと思います。
実践基準と言う言葉は、このCOBIT4.0で始めて取り上げられたと思います。
この成熟度モデルの実践基準について解説していきます。
COBITでは、4つのドメインの34のITプロセスが全て成熟度レベル5となることが必要といっているわけではありません。
各企業の能力や体力において、または実施年度において、適正な成熟度レベルの設定はそれぞれに異なるわけです。
IT成熟度モデル-その3
今回は、「内部統制の成熟度モデル」を取り上げてみようと思います。
内部統制における統制環境の状況と「内部統制の確立」の状態を成熟度レベルごとに一般例(付録3)で記述しています。自
社の成熟度を判断する上で概略的な指針となります。
COBIT4.0で内部統制の成熟度モデルを定義していますのは、COSOモデルでIT統制のリファレンスフレームとして取り上げられたことに起因していると思います。
IT成熟度モデル-その4
今回は、「IT成熟度モデル-その4」で、内部統制成熟度モデルの成熟度属性記述を取り上げてみようと思います。
内部統制成熟度レベル4を例として引用し、「内部統制環境の状況」と「内部統制の確立」の記述を「6つの成熟度属性の観点」で検証してみましょう。
「内部統制環境の状況」とは、ポリシー、標準および手続が整備され、実行責任が認識されている状況で、日本版内部統制での「内部統制の整備」に当たります。
「内部統制の確立」とは、重要ITプロセスの特定とITプロセスオーナーによる評価・改善プロセスが実施・推進されていることで、日本版内部統制での「内部統制の評価」に当たります。
COBITフレームワーク全体像
今回は、「COBITフレームワーク全体像」で、今までのCOBITフレームワーク記述の整理項目を述べます。
ここでの記述は、前章までの内容の体系化です。この体系化に基づいて、ITプロセスのコアコンポネントの記述の枠組みが出来上がっています。
COBITフレームワークの全体像では、2章までで述べてきたことを以下の手順で全体観を持って整理しています。
COBITのコントロール目標
今回は、「COBITのコントロール目標」で、COBITフレームワークとITのコントロール目標について整理しておきます。
コントロール目標には、ビジネス達成目標、IT達成目標、ITプロセスコントロール目標、アクティビティコントロール目標等、いろんなコントロール目標が出てきます。
まず、ビジネス達成目標とCOBITフレームワークの関係を整理しておきましょう。
アクティビティコントロール目標
「アクティビティコントロール目標」で、ITプロセスの構造とその目標について整理しておきます。
COBITのもつITガバナンスの考え方は3つの側面を持って統治されることは前述しました。
おさらいを兼ねてみていきましょう。
3つの側面とは、
アクティビティコントロール目標例
今回は、「アクティビティコントロール目標」です。ITプロセスの構造とその目標について整理しておきます。
COBIT4.0では、34個のITプロセスは、さらに215個のアクティビティに展開されています。
アクティビティは34個の各ITプロセスの機能を達成する役割を表します。
この役割を達成することが、ITプロセスの機能を達成することになります。
例えば、「PO2 情報アーキテクチャの定義」プロセスを取り上げてみましょう。
アクティビティとして、「企業のアーキテクチャモデル」、「企業データディクショナリとデータ構文規則」、「データ分類体系」、「インテグリティ管理」の4つの役割を定義しています。
アクティビティ目標と成熟度
「情報アーキテクチャの定義プロセス」の「ITプロセスのコントロール目標が「企業の情報のアーキテクチャモデル」、「企業のデータディクショナリーおよびデータ構文ルール」、「データ分類体系」、「インテグリティの管理」の観点を取り入れてみましょう。
コントロール目標の一方の目標である成熟度を向上策を捉えますと、2段階の観点で考える必要があることが分かります。
その意味は、前述しました一般成熟度モデルの「成熟度属性」の観点と「ITプロセスのコントロール目標」の観点です。
まず最初は、成熟度属性の観点での成熟度とITコントロール目標の観点でみる成熟度です。