ITに係る全社的な内部統制

IT Entity-Level Controls

あいてぃーにかかるぜんしゃてきなないぶとうせい

J-SOXにおいて、組織全体のITに関する方針・手続・体制を評価する統制。IT戦略、ITリスク管理方針、セキュリティポリシー、IT要員の確保・育成などの観点から評価する。

内部統制とITガバナンス > 財務報告に係る内部統制（J-SOX）

関連キーワードの用語

リスクを許容可能な水準に低減するために組織が実施する方策。予防的コントロール、発見的コントロール、是正的コントロールに分類され、システム監査ではその整備状況と運用状況を評価する。

コントロールによって達成すべき目標。監査手続書の作成にあたり、監査対象ごとにコントロール目標を設定し、その達成状況を評価するための監査手続を設計する。

内部統制によって重大な問題が防止または検出・是正されないリスク。内部統制の設計上の有効性と運用上の有効性により決まり、統制テストの結果に基づいて評価する。

IT業務処理統制が有効に機能するための基盤となる統制。プログラム開発・変更管理、アクセス管理、コンピュータ運用管理、外部委託管理などが含まれ、IT環境全体の信頼性を確保する。

IT全般統制の一つ。プログラムの変更が適切に承認、テスト、移行されることを確保する統制。変更要求の申請・承認、テスト環境での検証、本番環境への移行手続などのプロセスを含む。

IT全般統制の一つ。情報システムやデータへのアクセスを適切に制御する統制。ユーザIDの管理、パスワードポリシー、アクセス権限の付与・変更・削除、特権IDの管理などが含まれる。