CGEIT

12月20日の全国縦断情報セキュリティセミナー名古屋会場でのスピーチ用の資料作成をしています。

情報セキュリティ監査セミナー in NAGOYA

土日や休日を利用しながらですが、段々と完成に近づいてきました。その過程で、IT統制とJ-SOXについて参考資料を読みつつ、考えてみたのですが・・・

IT統制は、IT全般統制とIT業務処理統制とに分類されます。
また、ITに対する、ITのよる統制という言い方もします。ITに対する統制がIT全般統制、ITによる統制がIT業務処理統制になります。
財務報告に係る多くのプロセスがIT化され、また多くの財務関連データが電子化されている以上、その業務プロセスへの統制もITを利用することは（IT業務処理統制）は、自然な流れで当然だと思うのです。
ITを利用する統制が健全である、有効であるためにはIT基盤の維持管理対する統制、つまりIT全般統制が機能していることが重要ということになってきますね。
J-SOXとIT統制の関係では、財務報告に係るIT統制への監査となるのでしょう。
しかし、特にIT全般統制の場合は、財務報告に係るか係らないかと分けて考えることは無意味というか、無理なような気がします。
これは財務で、これは非財務を分けてITの運用や問題管理をしていることは、ちょっと考えられません。アクセスコントロールの場合は、精度の問題としてはあるかもしれませんが。
しかし、全体としてはIT全体を一体として考える方が合理的だと思います。ですから、IT全般統制という観点での監査の場合、被監査主体のIT全体が監査対象なるだろうな、と資料を作りつつ考えました。
当日は、そんなことを考えつつ、J-SOXとIT統制、それと情報セキュリティと情報セキュリティ監査について、40分ほど喋って参ります。名古屋の方、会場でお会いしましょう。
まあ、その前に今月末に迫った資料作成の締切りを守らねばいけませんね。
そして、名古屋のあとは3月に福岡です。久しぶりだな、福岡は！