ここしばらく ByDesign 関連のブログアップが続いていますが、今回はSOXの観点からByDesign を評価してみようと思います。
内部統制に関する基本要件については、こちらを参照してください。
「IT全般統制」と「IT業務処理統制」のふたつに分類される内部統制ですが、「全般統制チェックリスト」、「業務記述書」、「プロセスフロー」、「RCM(リスクコントロールマトリクス)」を整備した上で評価を実施することが一般的です。
評価の対象には大きく「システムの運用」、「システムの機能」、「業務の運用」の3種類がありますが、ここでは特に「システムの機能」について、ByDesign の対応度合を整理してみたいと思います。
まずは、IT全般統制の「問題と事故の管理」の観点についてです。
評価ポイントのひとつとして「システム、ソフトウェアに障害、故障等が発生した場合に、その状況の把握、分析、解決等の対応方法を記載した規程、マニュアル等の文書が作成されているか。また、当該規程等に従って、当期中に発生した障害や故障等について、状況把握、分析、解決が図られた結果が記録されているか」が定義されます。
ByDesign には、独自のインシデント管理機能が組み込まれているため、 インシデントの登録とその解決までの記録がシステム内で登録・照会が可能となります。
新たなインシデントマネジメントシステムの導入が必要ないため、この評価ポイントについては、内部統制要件に対する適合度合は非常に高いと言えます。
続きます。
IT全般統制の「IT部門のオペレーション管理」の観点についてです。
同じく評価ポイントのひとつとして以下が定義されています。
「情報システムとデータ処理について、企業にログ採取・分析についての方針があり、それに基づいてログが採取され、必要な項目がモニタリングされているか」
ByDesignでは、各種監査レポート(アクセス権に関する各種レポート、会計データに関する各種レポート)が出力可能です。
また、マスタやトランザクションデータの更新履歴が保持されているためコントロール状況の確認も可能です。
この評価ポイントについても、内部統制要件に対する適合度合は非常に高いと言えます。
あとひとつ。
「IT業務処理統制」についても整理してみます。
「IT業務処理統制」の評価ポイントについては、各社の特性に応じ個別に整理していくことが一般的ですが、必ず考えなければならないものとして、「受託業務に係わる内部統制の保証報告書に基づく外部監査に対応できるか」があげられます。
これはいわゆる86号監査への対応可否を指しています。
86号監査とは、日本公認会計士協会「監査基準委員会報告書第86号」の「受託業務に係わる内部統制の保証報告書」に基づく外部監査のことであり、受託会社が受託した業務が、その顧客(委託会社)にとって重要な業務プロセスの一部を構成しており、内部統制評価の対象範囲に含まれる場合には、受託会社の経営者は、受託した業務に関する内部統制の有効性についてその顧客、あるいはその顧客の内部統制監査を実施する監査法人から報告を求められる可能性がある というものです。
つまり、基幹業務などの重要な業務は重要なプロセスであり、内部統制評価の対象となり得ます。
その業務がクラウドのシステムで実現されている場合、該当クラウドシステムを導入した顧客の内部統制監査を行う監査法人が、その有効性についてクラウドシステム構築会社に報告を求める可能性があるということになります。
ByDesignの製造元であるSAP社は、同等の基準である SSAE16(米国基準)、ISAE3402(国際基準)による監査を受けていますので、顧客はSOC1に分類されるSOC報告書の提示を要求することができます。
繰り返しになりますが、内部統制による評価の対象には「システムの運用」、「システムの機能」、「業務の運用」の3種類が存在します。
使用するシステムに関わらず、運用面での評価の仕組みやルールをきちんと構築することが重要なのはのもちろんです。
今回ご紹介できたのはそのうちのごく一部ですが、「システムの機能」に関する評価ポイントについて、当社では内部統制要件に対し ByDesign は高い適合度合を持っていると評価しています。