ドクターQがお届けするIT統制ブログ　ITサプリ

J-SOX監査のスタートによって、システム管理者も公認会計士との定期協議が必要となってきました。そこで本シリーズでは定期協議をスムーズに進行させるために、「公認会計士の視点」を分かりやすく解説しています。前回に引き続き今回も公認会計士が着目する「ITリスク」に関してお話しましょう。

■公認会計士が考える、具体的な統制効果チェックポイント

公認会計士の方々は「統制目標」の達成状況を正確に把握するために、現状の統制効果をチェックを行います。それでは、定期協議でチェックされるポイントをピックアップしましょう。これらの項目をクリアできれば、きっと監査人から高評価を獲得できるはずです。

(1)アプリケーションシステム開発管理

• システム開発部門とシステム運用部門が分離している。
• システム開発規程が策定されている。
• システム開発規程の遵守証跡が作成され、定期監査を受けている。
• 開発プログラムは、定期的、または一定の進捗に応じて、定期監査を受けている。
• 開発プログラムに対する、一定のテスト体制が整備され、実行されている。
• 本番環境への移行前に、承認プロセスが設定されている。

(2)アプリケーションシステム変更管理

• システム変更担当部門とシステム運用部門が分離している。
• システム変更規程が策定されている。
• システム変更規程の遵守証跡が作成され、定期監査を受けている。
• 変更プログラムは、定期的、または一定の進捗に応じて、定期監査を受けている。
• 変更プログラムに対する、一定のテスト体制が整備され、実行されている。
• 本番環境への移行前に、承認プロセスが設定されている。
• 突発的、また臨時のジョブに対しても承認プロセスを設定している。

(3)アプリケーションシステム運用管理

• システム変更担当部門とシステム運用部門が分離している。
• システム管理規程が策定されている。
• システム管理規程の遵守証跡が作成され、定期監査を受けている。
• プロジェクト管理者(責任者)が承認したスケジュールに基いて運用されている。
• 突発的、また臨時のジョブに対しても承認プロセスを設定している。
• システムの運用において、オペレータ監視を採用している。
• 重要データは、随時バックアップデータが保管されている。

(4)アプリケーションシステムの情報セキュリティ管理

• 情報セキュリティポリシおよび関連規程が策定されている。
• ユーザIDおよびパスワードが適切に運用管理されている。
• サーバプログラム、機密プログラム、機密ドキュメントに関して、適切なアクセス制限が実行されている。
• 開発環境、変更環境、運用環境において、全て監査証跡が確保されている。
• 収集された監査証跡を定期的に分析する体制が整備されている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。
なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。