« 国際会計士連盟 職業会計士のための情報技術(IT)公開草案 | Main | IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表 »

2006.11.19

ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・

 こんにちは、丸山満彦です。昨日は、ITGI-Japanの設立記念カンファレンスに参加してきました。。。
 SOX法対応で苦労された方が講演者で、大変、勉強になりました。

 
■ITGI-Japan
設立記念カンファレンス
プログラム

1)基調講演 IT ガバナンス、COBIT®、 C-SOX の関係とその展開について (仮題)
     Ron Saull, CSP Appointed Trustee, ITGI Board of Trustee
2)事例1 COBIT® implementation for SOX by BP
     Gary Bannister, BP
3)事例2 COBIT® implementation for SOX by Sun Microsystems
     Bob Frelinger, Sun Microsystems

SOX対応の経験から学んだこと・・・として、BP社のGaryさんや、SunのBobさんが話したこと・・・

=====
・内部統制のフレームワークを導入する前に、監査人と十分協議をしなさい。
・COBITの統制目標を選び過ぎないように。
・できる限り、シンプルに。
・変更管理、アクセスコントロール、データ管理などに問題が多い。
・リスクに応じてできる限り評価範囲とする業務とプロセスは少なく。
・スプレッドシートのコントロールに注意しろ。
・COSOやCOBITをフレームワークとして使っても、それそのものは、会社の状況に応じた回答を与えない。
・文書化支援ツールはまだまだ未成熟なので、それを使う場合は注意。
・委託先の管理をどのようにしているかについても気を配ろう。
・ビジネスプロセス、ITプロセス一つ一つに対して説明責任を負うものを明確にしよう。

・制度をみんなによく周知させることが重要。
・COBITなどを使って、用語の統一をしておこう。
・キーコントロールに焦点をあてよう。
・リスクの高い領域に焦点を時間とエネルギーを使おう。
・発見的コントロールから予防的コントロールに切り替えていこう。
・各拠点に評価者をおいても効果的でない。外部に委託すると高くつく。=>評価者を集中させよう。
・アプリケーションを統合しよう。
・できる限りプロセスは共通化しよう。
・機器やデータセンタは統合しよう。
・包括的なアクセスコントロールポリシーを導入しよう。
・アプリケーションオーナの役割と責任を文書化しよう。
・現状のプロセスを文書化しよう。
・評価範囲の選定は適切に。
・作業量は、予想しているよりも多くなる。
・SOX法対応により、組織体制と組織文化が変わる
====
 ちょっと正確ではないかもしれないですが・・・

|

« 国際会計士連盟 職業会計士のための情報技術(IT)公開草案 | Main | IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・:

» ITGI-Japan設立記念カンファレンス [情報セキュリティコンサルタントのお気楽Blog]
2006年11月18日は、ITGI-Japan設立記念カンファレンスでした。私もスタッフとして参加いたしました。基調講演と事例が2例と計3件の講演でした。スタッフでしたので、受付にいたりスクリーンの切り替え、PCの操作などしてい... [Read More]

Tracked on 2006.11.19 13:34

« 国際会計士連盟 職業会計士のための情報技術(IT)公開草案 | Main | IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表 »