[PR]
日本マネジメント総合研究所、J-SOXの監査対応「クラウド統制」発表
ニュースリリース|クラウド統制|
日本マネジメント総合研究所(東京都大田区)理事長の戸村智憲が、日本ERM経営協会(兼)第18回SOX法研究会において、クラウド・コンピューティングを利用するJ-SOX対象企業におけるリスクと監査対応につき講演し、クラウド統制の提言を行いました。
【クラウド統制とは?】
一般企業と異なり、J-SOX対象企業においてはクラウドに関するリスクを明確に把握してリスクに対するコントロールの有効性を評価しなければなりません。その際、具体的には下記の3つの方法があり、最も現実的で低コスト・低負荷の対応として「クラウド統制記述書」による対応について発表しました。
【クラウド利用における3つのJ-SOX監査対応法】
1.RCM(リスクコントロールマトリクス)上にクラウド依存IT関連項目を列挙してテストを行う(クラウドの性質上、最も困難かつ有効性評価テスト工数がかかり高コスト対応となるので避けるべきです。)
2.クラウド・コンピューティングのサービス提供企業が18号監査報告書を取得し、J-SOX対象企業に配布する(クラウド提供側に多大なコストがかかると共に、クラウドの柔軟性を損なう恐れを持つ対応で、これも避けるべきです)
3.クラウド統制記述書を作成する(最も低コストでクラウドへのインプットとアウトプットの正確性を検証し、クラウドの柔軟性を保ちつつクラウドを大くくりにして有効性評価できる対応として活用すべきと提唱しています。)
【クラウド統制記述書についての提言】
クラウド統制記述書として盛り込むべき項目は、あくまでも、監査法人に対してクラウド依存のIT関連項目が内部統制上で有効に機能することを明示するものです。具体的な例としては、下記のようなものです。その中で、最も簡便かつ効率的な対応を、「クラウド統制記述書」として監査対応に活用する提言を行いました。
・クラウドに詳しくない監査法人でも理解できるクラウドの概要・利点・欠点の記述
・自社内の業務とクラウドとの関連図(業務フローの代替的機能)
・クラウド依存のIT関連項目の一覧表とその内容の説明文(業務記述書の代替的機能)
・各クラウド依存のIT関連項目における改ざんリスクの推定と対応策(RCMの代替的機能)
・各クラウド依存のIT関連項目におけるSLA(サービスレベルアグリーメント)の一覧(テスト定義書の代替的機能)
・各SLAのモニタリング・テスト方法とその結果(テスト報告書の代替的機能)(クラウド側へのインプット内容とクラウド側からのアウトプット内容の一覧表によるSLAの遵守状況の確認と是正アクションプランの記述)
・クラウド統制の全体的な内部統制上の有効性評価 など
その他詳細は戸村までお問合わせ下さいませ。
以上
[この件に関するお問い合わせ先]
日本マネジメント総合研究所 理事長 戸村智憲
TEL: 03-3750-8722 e-mail: info@jmri.jp
146-0094 東京都大田区東矢口2-16-18クレストUビル302
ここで掲載されている記事は、企業や団体、機関などのプレスリリースを、弊紙仕様の表記に替えることを除いてほぼ原文のまま公開しています。この記事に関する問い合わせ、ご質問はそれぞれの発表者にご連絡下さい。
リリース速報(提供:共同通信PRワイヤー)
※見出しをクリックすると共同通信PRワイヤーの記事ページに移動します。
バックナンバー
- 日本マネジメント総合研究所、J-SOXの監査対応「クラウド統制」発表 2009.03.28 土曜日 共同通信PRワイヤー