ＩＴ統制の検証

　この夏、上場企業のＩＴ統制をチェックする仕事を１０社ほど、やることになっています。

２００８年４月から導入される日本版ＳＯＸ法のこともありますし、企業の財務諸表を監査するためにも、企業がコンプライアンスを遵守し、適切な危機管理体制を構築するためにも、重要なことだと思うのですが、、、

チェックする方も、されるほうも、ＩＴ統制の検証は経験が少ないので、戸惑うことが多いかもしれません。

特に、財務経理部門では監査というのは慣れているでしょうが、ＩＴ部門では、こうした視点での監査というのはあまりないでしょうから、対処に困られるかもしれません。

ただ、ＩＴ統制といえども内部統制の一種ですので、
１、社内において、問題が発生しないように、または、問題が発生しても正しく対応できるようなルールや仕組みが構築されているか
２、現場がそのルールや仕組みを正しく守って運用しているか
３、それが、特定部門での「決まりごと」というレベルではなく、トップも含めた全社的な、体制として位置づけられているか。
ということを検証することには変わりありません。

そのために、自社の情報システムがどのようになっているかを知ってもらうこと（新システムの企画開発のときに、事前に現システムの運用フローを説明すると思いますが、そのステップと類似しています）、そして運用されていることを説明できれば良いと思います。

たとえば、与信枠１０００万円の得意先に、１５００万円の売上を営業担当者が入力しようとすると、販売システムの中で、入力できないようにする、（もしくは、与信枠を超えた売上があがっている得意先を警告リストとして抽出する）といったことがＩＴ統制の具体例になります。

また実践基準書として使えるものとしては、米国の情報システムコントロール協会（ISACA）などが提唱するITガバナンスの実践規範であるコビット（ＣＯＢＩＴ）などがあります。
（ＣＯＢＩＴ）
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

http://www.itgi.jp/index.html

（ＣＯＳＯフレームワーク）
http://www.coso.org/

（キーマンズネット）
http://www.keyman.or.jp/?vos=nkeyvccp00000001