ITGI-Japan設立記念カンファレンス SOX対応の経験から学んだこと・・・

　こんにちは、丸山満彦です。昨日は、ITGI-Japanの設立記念カンファレンスに参加してきました。。。
　SOX法対応で苦労された方が講演者で、大変、勉強になりました。

　
■ITGI-Japan
●設立記念カンファレンス
・プログラム

１）基調講演　IT ガバナンス、COBIT®、 C-SOX の関係とその展開について （仮題）
　　　　　Ron Saull, CSP Appointed Trustee, ITGI Board of Trustee
２）事例1 COBIT® implementation for SOX by BP
　　　　　Gary Bannister, BP
3)事例2 COBIT® implementation for SOX by Sun Microsystems
　　　　　Bob Frelinger, Sun Microsystems

SOX対応の経験から学んだこと・・・として、BP社のGaryさんや、SunのBobさんが話したこと・・・

＝＝＝＝＝
・内部統制のフレームワークを導入する前に、監査人と十分協議をしなさい。
・COBITの統制目標を選び過ぎないように。
・できる限り、シンプルに。
・変更管理、アクセスコントロール、データ管理などに問題が多い。
・リスクに応じてできる限り評価範囲とする業務とプロセスは少なく。
・スプレッドシートのコントロールに注意しろ。
・COSOやCOBITをフレームワークとして使っても、それそのものは、会社の状況に応じた回答を与えない。
・文書化支援ツールはまだまだ未成熟なので、それを使う場合は注意。
・委託先の管理をどのようにしているかについても気を配ろう。
・ビジネスプロセス、ITプロセス一つ一つに対して説明責任を負うものを明確にしよう。

・制度をみんなによく周知させることが重要。
・COBITなどを使って、用語の統一をしておこう。
・キーコントロールに焦点をあてよう。
・リスクの高い領域に焦点を時間とエネルギーを使おう。
・発見的コントロールから予防的コントロールに切り替えていこう。
・各拠点に評価者をおいても効果的でない。外部に委託すると高くつく。＝＞評価者を集中させよう。
・アプリケーションを統合しよう。
・できる限りプロセスは共通化しよう。
・機器やデータセンタは統合しよう。
・包括的なアクセスコントロールポリシーを導入しよう。
・アプリケーションオーナの役割と責任を文書化しよう。
・現状のプロセスを文書化しよう。
・評価範囲の選定は適切に。
・作業量は、予想しているよりも多くなる。
・SOX法対応により、組織体制と組織文化が変わる
＝＝＝＝
　ちょっと正確ではないかもしれないですが・・・