IT統制の運用課題解決支援

背景と目的

• 内部統制報告制度（J-SOX）導入から10年以上が経過
• H社においても導入時に構築した仕組みを長年にわたり追加修正して利用しているため、IT統制ガイドラインが複雑化しユーザー負荷が増加
• 一方、テクノロジーの進化や15年ぶりのJ-SOX改訂など、外部環境変化による内部統制の課題解決が必要な状況
• ユーザー負荷軽減とIT統制のさらなる適切化を目的として現状分析を実施し、多角的な視点から改善すべき目標と実現に向けたプロセスの明確化を行うべく、DOLBIXの伴走サービスを活用

アプローチ

1. 現状把握
2. 改善目標の設定
3. 改善案の策定
4. テストと効果測定
5. 今後の実施予定

1. 現状把握

• H社の内部統制の構造と手続きの流れを把握
• H社における社内規定やマニュアル全体の建付けを確認し、IT統制の仕組みとして統制すべきリスクや基準を調査
• 特に、社内規定やマニュアルの用語定義、構成などから言語化されていないH社独自の文化に着目し、詳細を解読

2. 改善目標の設定

• 公的ガイドラインで求める基準やJ-SOXの改訂内容と「1. 現状把握」で把握したH社のIT統制ガイドラインとのギャップ分析を実施
• 内部統制監査部門やユーザーからのヒアリングによってニーズに合った改善ポイントを把握
• ギャップ分析の結果から抽出した課題とヒアリングより収集した課題から以下4点の改善目標を設定

① 公的ガイドラインの基準を完備
② テクノロジーの進化に合わせたリスクと基準の設定
③ 社内規定やマニュアルから逸脱しない基準の整備
④ 読みやすく理解しやすい形式への見直し

3. 改善案の策定

以下の改善目標に対し、それぞれIT統制ガイドライン見直し方針をH社と協議の上作成

• 公的ガイドラインの基準を完備
  公的ガイドラインの基準の粒度にそろえ、リスクと統制範囲を整理
• テクノロジーの進化に合わせたリスクと基準の設定
  テクノロジーの進化に合わせ、統制範囲の見直しと統制内容の再定義を実施
• 社内規定やマニュアルから逸脱しない基準の整備
  社内ルールと基準の異なる統制は、統制を逸脱しない基準へ整理
  社内ルールが前提となり明記されていない統制は、統制内容の詳細化を通じて記載すべき範囲を再整理
• 読みやすく理解しやすい形式への見直し
  複雑な統制条件を分離し、一問一答形式の選択しやすい形式へ組み換え

整理した見直し方針に基づき、IT統制ガイドライン改訂ドラフトを作成

4. テストと効果測定

• 作成したIT統制ガイドライン改訂ドラフトを展開した場合を想定し、現状とのギャップについて仮説を立て、過去証跡からIT統制手続きが可能かのテストを実施
• テストの実施結果からギャップを分析し、IT統制ガイドライン改訂ドラフトの再整理を実施
• ギャップを軽減したIT統制ガイドライン改訂ドラフトを利用しユーザー負荷を計測
• 負荷計測値に基づき、改訂によるメリットとデメリットなどの評価ポイントを整理し評価を実施

（本稿執筆時点で改善案の実施可否をH社と協議中）
（※ここまで検討フェーズ）

5. 今後の対応予定（※以降実行フェーズ）

• 内部統制監査部門などの関係部門と共に、IT統制ガイドライン改訂ドラフトにおける詳細統制の妥当性協議とパイロット確認などを推進予定（法律に依拠する対応のため実施に当たっては慎重を期す）
• 改訂版の展開に当たり、具体的な推進と実施は、H社単独での実施ではなくDOLBIXも協業して展開を行う予定

ご支援の特徴／ポイント

多角的な分析とクライアントに適合した改善案の策定

過去の同事案より有する知見、公文書の分析、社内文書の持つ独自文化の把握、関係部門とのヒアリングなど、多角的な視点から改善ポイントを分析
その結果を踏まえ、ユーザー負荷軽減とクライアントの文化に合ったIT統制との両輪が可能な改善案を策定

改訂によるユーザー負荷軽減を計画段階で実施

改訂案の検討および計画の段階で、過去証跡を利用し現状と改善案とのギャップを早期に把握
検証およびギャップ軽減のできる案への見直しにより、改訂による混乱を抑えた安定的な展開が可能な計画を策定