IT Control Objectives for SOX 2nd Edition 業務レベルのIT全般統制とテクノロジー階層のコントロールの優先順位表

　こんにちは、丸山満彦です。IT全般統制を評価する場合に、ネットワークまで見るの？とか、物理的なセキュリティって重要？って話があると思うのですが、IT Control Objectives for SOX 2nd Editionの「参考資料G 固有リスク評価とコントロールの優先順位の表」でそのあたりが整理されています。といっても、考え方のスタートポイントと個別の企業に当てはめる場合のガイダンスですので、それをみて誰でも直ちに答えがでるものではありません。。。

　

	PCAOB	ＩＴ CO for SOX	AP	DB	OS	NW	HW
	プログラム開発 プログラム変更	アプリケーションソフトウエアの調達と開発	R	D	D	D	D
		技術インフラの調達	D	D	D	D	D
		方針と手続きの策定と保守	R	R	R	R	R
		アプリケーションソフトウェアと技術インフラの導入とテスト	R	R	D	D	D
		変更管理	R	R	R	D	D
	コンピュータ運用 プログラム及び データへのアクセス	サービスレベルの定義と管理	D	D	D	D	D
		サードパーティのサービスの管理	R	R	R	D	D
		システムセキュリティの保証	R	R	R	R	D
		構成管理	R	R	R	D	D
		問題管理とインシデント管理	R	R	R	R	D
		データ管理	R	R	D	D	D
		運用管理	R	R	D	D	D

＝＝＝＝＝
AP＝アプリケーション
DB＝データベース
OS＝オペレーティングシステム
NW＝ネットワーク
HW＝ハードウェア

R＝推奨：それぞれのテクノロジー階層ごとにIT統制の検証を検討すべき。
D＝任意：リスクが特定された部分はIT統制の検証を検討すべき。
＝＝＝＝＝

【ISACA】
■IT Control Objectives for Sarbanes-Oxley 2nd Edition (PDF)
○図表45：コントロールの優先順位の表