![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-06-13T06:01:10+00:00","default:admin","admin") #author("2023-06-13T07:42:16+00:00","default:admin","admin") -[[システム管理基準 - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri_h30.pdf]] -[[システム監査基準 - 経済産業省:https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf]] -[[経産省のシステム管理基準を簡単に解説!:https://www.biz2cloud.com/blog/meti-system-management-standards]] -[[監査法人との会話でよく使う略語をまとめてみた:https://a-habakiri.hateblo.jp/entry/2020/10/16/224507]] -[[内部統制って何?具体的に何をすれば良いの?にお答えします。:https://www.clouderp.jp/blog/what-is-internal-control.html]] -[[内部統制を構成する6つの基本的要素:https://www.icfpe.jp/internal_control/element.html]] -[[【内部統制の4つの目的と6つの基本要素】上場準備に必要不可欠な内部統制とは:https://keiei.freee.co.jp/articles/c0501665]] -[[これから始めるIT統制の構築・評価~IT統制の仕組み整備~:https://www.aimc.co.jp/blog/p-5834/]] -[[《連載:第1回》 IT部門が考えるべき3種類のIT統制とは:https://smart-stage.jp/blog/p25/]] -[[《連載:第2回》 IT統制の自動化によるIT部門の役割:https://smart-stage.jp/blog/p26/]] -[[IT統制とは?:https://www.obc.co.jp/special/ipo/column/81]] -[[内部統制を意識した情報システムの構築・導入の在りかたについて:https://www.casleyconsulting.co.jp/blog/team_casley/426/]] -[[内部統制支援サービス『監査レポート作成サービス』 開始のお知らせ - 米国SOX法の外部監査をクリアしたデータセンターの証跡取得ノウハウをサービス化 -:https://www.mki.co.jp/news/solution/20070529_1.html]] *監査基準委員会報告書315 [#ge14cf67] -[[監査基準委員会報告書315「企業及び企業環境の理解を通じた重要な虚偽表示リスクの識別と評価」及び関連する監査基準委員会報告書の改正について:https://jicpa.or.jp/specialized_field/20210609fac.html]] -[[IT委員会研究報告第57号「ITの利用の理解並びにITの利用から生じるリスクの識別及び対応に関する監査人の手続に係るQ&A」の公表について:https://jicpa.or.jp/specialized_field/20210806gfb.html]] --[[《速報解説》 監基報315の改正を受け、会計士協会がITに関する監査人の手続に係るQ&Aを取りまとめる~「ITの利用から生じるリスクとは何か」に始まり、実務で参考となる全42問を収録~:https://profession-net.com/professionjournal/audit-report-149/]] --[[「IT研57号」を読んでみる:https://note.com/paguinu/n/n0decf7b379fe]] *3点セット [#u763b346] **業務記述書 [#e8067446] -内部統制における業務記述書とは、業務内容を文章に起こして可視化したもの -作成することで、起こりうるリスクやリスクに対する内部統制を発見できる -リスクとコントロールを明確にしたうえで、作業担当者・作業内容・作業手順を理解することが目的 **フローチャート [#u226776e] -フローチャートとは、業務プロセスを図に起こして可視化したもののこと -取引や会計処理の流れを整理することで、内部統制上のリスクを認識できる -全体的な流れを把握したうえで、業務プロセスを確認できればフローチャートの役割を果たしたと言える **RCM (Risk Control Matrix) [#v679f942] -[[内部統制におけるRCMとは?作成手順やポイント・サンプルを紹介:https://biz.moneyforward.com/ipo/basic/2391/]] ***作成プロセス [#h3e174ae] -業務記述書とフローチャートのドラフト作成 -リスクとコントロールの設定 -業務記述書やフローチャートをもとに作成 *情報処理統制 [#m2bb3f99] -情報処理統制とは、情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制 -情報処理統制は、企業の情報に関する方針が有効に適用されるための処理又は手続であり、自動化されている場合(すなわち、ITアプリケーションに組み込まれている。)と手作業の場合(例えば、インプット又はアウトプットに係る内部統制)があり、他の情報処理統制やIT全般統制を含む他の内部統制に依拠することがあるとされている **情報インテグリティ [#v145685b] 情報のインテグリティとは、取引データ等の -網羅性 -正確性 -正当性 であって、これらを阻害するリスクを直接低減するコントロールの例としては -網羅性:インターフェイス処理における件数チェック -正確性:マスタ参照チェック -正当性:認証と権限制御 がある *IT全社的統制 (ITCLC: IT Company Level Controls) [#u2e30923] -[[IT全社的統制とは?内部統制との関係性や構成する5つの要素を徹底解説:https://eggsystem.co.jp/column/it-company-control/]] -連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。 -具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。 *IT全般統制 (ITGC: IT General Control) [#u1c8fb98] -[[ITGCとITACの関係。:https://ameblo.jp/tumisyo/entry-10496838861.html]] -ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。 -その基準として、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。 -IT全般統制とは、IT環境の継続的かつ適切な運用を支援する企業のITプロセスに係る内部統制 -具体的には、アクセス権管理のプロセス、プログラムや他のIT環境への変更を管理するためのプロセス、IT業務を管理するプロセスといったITプロセスに係る、ITを利用した情報システムの運用・管理に関する統制活動のこと -経営者が財務報告において依拠する内部統制が自動化されている程度が高いほど、自動化さ れた情報処理統制の継続的な運用を支援するIT全般統制の適用は重要となる **システム開発・変更 [#ie05097f] **システム運用 [#z9b810f6] **アクセス管理 [#mdc970c7] -[[内部統制におけるアクセス管理とは?その概要と対策について:https://solution.kamome-e.com/blog-security-20220121/]] ***アカウントの申請・発行 [#l5bb0b8b] -社員の入社・異動・退社に伴い、適切にアカウントの発行・変更・削除を行っている ***アカウントの棚卸し [#idbb14bc] -アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか -また、その記録が保管されているか ***ログのモニタリング [#x8c3d3f9] -アクセスログを収集し、適切な項目をモニタリングしているか **外部委託管理 [#c16af78d] ***SOC報告書 [#p60bb2b3] -[[SOC報告書とは?目的、種類、IPO準備企業がSOC取得済みのクラウドサービスを利用すべき理由を解説:https://www.obc.co.jp/special/ipo/column/55]] -[[SOC 2 - Google Cloud:https://cloud.google.com/security/compliance/soc-2?hl=ja]] **構成管理 [#x9178787] -[[構成管理って何?構成管理の5つの管理項目|IT資産管理との違いも解説!:https://www.yume-tec.co.jp/column/%E3%81%9D%E3%81%AE%E4%BB%96/3747]] **システム文書 [#bf2b249b] ***開発計画書 [#t2518ded] -[[今更聞けない!開発計画書の書き方は?知っておくべき記入項目6つ!:https://lostash.jp/sales/operation-improvement/1078175]] -[[設計開発計画書:https://ecompliance.co.jp/MedicalDevice/Design/Design_Plan.html]] -書く内容 --事業目的 --市場が抱えている課題 --スコープ --プロジェクト体制 --スケジュールと戦略 --費用対効果 ***運用設計書 [#g3e937e9] -[[外部設計 PART5 セキュリティ設計・運用設計・テスト設計:https://www.threenext.com/secopetest/#%E3%83%86%E3%82%B9%E3%83%88%E8%A8%AD%E8%A8%88%E3%81%A8%E3%81%AF]] ***セキュリティ設計書 [#t3a9f110] ***障害対策設計書 [#ra5e29b2] ***テスト設計書 [#eb911cb7] ***リリース計画書 [#l48c8168] -[[移行計画書、またはリリース計画書のサンプル:https://end0tknr.hateblo.jp/entry/20140528/1401275683]] -[[詳解 リリース計画:https://moneyforward.com/engineers_blog/2021/12/23/release-plan/]] -[[アジャイルリリース計画の作成方法:https://www.lucidchart.com/blog/ja/agile-release-planning]] **評価 [#j820ec78] -[[整備状況だけでなく運用状況までを評価:https://xtech.nikkei.com/it/article/tousei/20070330/267039/]] -[[【内部統制基準・IT全般統制】システム監査では何のツールが使われるのかをシステム監査技術者が解説します:https://cpa-inagaki.com/%E3%80%90%E5%86%85%E9%83%A8%E7%B5%B1%E5%88%B6%E5%9F%BA%E6%BA%96%E3%83%BBit%E5%85%A8%E8%88%AC%E7%B5%B1%E5%88%B6%E3%80%91%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%9B%A3%E6%9F%BB%E3%81%A7%E3%81%AF%E4%BD%95/]] ***整備状況監査(文書監査) [#y2597157] ***運用状況監査(現地監査) [#kbbf5419] *IT業務処理統制 (ITAC: IT Application Controls) [#ueb049f2] -[[IT業務処理統制とは?IT全般統制との違いや構成する5要素を解説:https://eggsystem.co.jp/column/it-business-process-control/]] -承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。 -情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます **入力情報の統制 [#z02a9fe6] **例外処理の修正と再処理 [#v5dc26e4] **マスタデータの維持管理 [#kac76574] **認証とアクセス管理 [#y0dbfeaf] *IPO [#lfca36ea] -[[株式上場(IPO)と情報セキュリティ:https://nao-lawoffice.jp/venture-startup/ipo/information-security.php]] *リスクマネジメント [#ied6750f] -[[コンプライアンスとリスクマネジメントとは?意味や違反事例、内部統制の手法を解説:https://schoo.jp/biz/column/726]]
