サービス

ITを取り巻く環境の変化に応じたJ-SOX対応

ITGC(IT全般統制)の標準統制ツールを利用したリスク対応

J-SOX導入当時に比べ、クラウドサービスの活用や、業務のデジタル化に代表されるDXの推進などIT環境は目まぐるしく変化しています。一方で、内部統制はJ-SOX対応時のものから見直しが行われておらず、変化したリスクに対応できていないといった課題を抱えられていないでしょうか。デロイト トーマツ グループでは昨今のIT環境の変化に即したJ-SOX対応の見直しを支援します。

ITを取り巻く環境の変化

2008年4月1日以降に開始する事業年度からJ-SOX(日本版SOX法)が開始されました。当時のIT環境は、オンプレミス型で自社がインフラを管理しており、システム構成もメインフレームやクライアント・サーバー型で業務アプリケーションを構築・運用している会社が一般的でした。

現在では、政府が推進する「クラウド・バイ・デフォルト原則」に象徴されるように、クラウドサービスの利用が積極的に進んでいます。また、DXの推進により、業務のデジタル化が加速しています。

 

ITの利用から生じるリスクの変化と対応

ITを取り巻く環境が日々変化する状況において、ITの利用から生じるリスクも変化しています。これらリスクへの対応にあたり以下のような課題を抱えられていないでしょうか。

  • 従来のRCM(リスクコントロールマトリクス)は形骸化しており、IT環境の変化への対応が十分でない。
  • システムリプレース等が行われているが、テクノロジーに即した見直しが行われずリスク対応が十分でない。
  • 評価方法が属人化しており、担当者の変更等によりノウハウが継承されない恐れがある。

 

ITGC(ITに係る全般統制)における標準統制

それらのような課題への対応を効率的かつ効果的に進めるためには、新たなテクノロジー固有のリスクと一般的に求められる統制(=標準統制)を把握したうえで、自社の統制を点検することが重要となります。 更に、標準統制を適用することで、評価においても標準化が進みJ-SOX対応の更なる効率化に繋がります。例えば、各テクノロジーにおいて検証対象とすべき設定値やデータが明確になることで、それらを抽出・確認する方法も明確になり、恣意性を排した標準的な評価手続きを定義することが可能となります。評価の標準化により、RPA※等を用いた評価の自動化の素地が整うことにもなります。

※ Robotic Process Automationは、ヒトの動きを真似て各種アプリケーションを操作するソフトウェアのこと

※クリックで拡大

ITGCの統制構築・評価手法確立支援サービス

デロイト トーマツで確立されたITGC等の監査の知見に基づき、ITGCの統制構築・評価手法確立までワンストップでのご支援が可能です。 各種クラウドサービスのみならず、ERPパッケージ、データベース、オペレーティング・システム等の各テクノロジーに応じたITGCの標準統制ツールにより統制構築、評価手法確立を支援します。

※クリックで拡大

プロフェッショナル

奥田 健一/Kenichi Okuda

奥田 健一/Kenichi Okuda

デロイト トーマツ リスクアドバイザリー パートナー

公認会計士、公認情報システム監査人(CISA)、システム監査技術者。 都市銀行、独立系コンサルティングファームにて、主に製造業、小売業、商社などの基幹システム導入時の企画から開発までの支援をプロジェクト管理や業務改善などと共に、プロジェクトマネージャーとして従事。その後、大手監査法人を経てトーマツ入社後、現在は上記業種における財務諸表監査、内部統制監査などの監査業務とともに、内部統制構築支援、内部... さらに見る