06年5月に成立した日本版SOX法（金融商品取引法）により、「財務情報に係る内部統制」の整備が、上場企業に義務付けられました。財務報告が不正や誤謬により虚偽となってしまうリスクを低減するためには、全社的に統制活動を推進するための組織や、経営者によるモニタリング、規定類整備を含めた環境を整備すること（全社統制）、個別事業部門における業務処理を適切に管理すること（業務プロセスレベル統制）の双方を推進せねばなりません。このためにはITとの連携が必須となります。

IT全般統制とは

IT全般統制とは、プログラムやデータが不正なものとならないように実施される統制活動を指し、システムの変更、運用、アクセス管理の各段階において、不正や誤謬をできるだけ防ぐための統制活動です。具体的対策の例としては、開発と運用の職務分離、システムやデータへのアクセス権限の重点管理、システムの運用記録（ログ）の保存・定期的なモニタリング等があげられます。

IT業務処理統制とは

IT業務処理統制とは、業務プロセスにおける不正や誤謬の発生を予防・発見する機能を、アプリケーションシステム上で実現しており、そのシステム機能に依拠している統制活動のことを指します。具体的対策の例としては、入力データのエラーチェック、自動不正検知、システム間の自動化インターフェイス、決裁権限に応じた承認機能の実装、システム実行結果のチェック等があげられます。

IT統制活動に必要となる実践的ノウハウの蓄積、ITシステムの構築・運用業務からの独立性が強みとなっております。

• IT統制に関する豊富な知識とスキルを有しています。
• ITシステムの開発・運用に関する豊富な知識とスキルがあります。
• 情報セキュリティ運用に関する豊富な知識とスキルがあります
• 多彩なコンサルティングプロジェクトを通じて得た深い業務知識と高いコミュニケーションスキルがあります。

• 内部監査業務に必須となる独立性の確保が可能です。

インフォセックは強みを活かし、整備段階、運用段階のそれぞれにおいて、役に立つコンサルテーションを提供します。

整備段階におけるコンサルテーションでは、以下のスキルが必要となります。

• IT統制フレームワークに関する十分な知識と、現場での実践経験を有すること
• ITシステムの開発・運用業務に対する十分な理解と経験を有すること
• 監査法人とのコミュニケーションをサポートできること
• コントロールアプローチ（チェックリスト主義）ではなく、リスクアプローチを取れること
• 監査と現場の立場の双方を考慮して、適切な落とし所を探ることができること
• 運用段階を見据えて、システムオーナーが対応可能で、且つリスクを軽減できる適切なコントロールを設計できること

運用段階におけるコンサルテーションでは、以下のスキルが必要となります。

• 整備されたコントロールが十分に機能しない場合に、不備を指摘するだけでなく、実現可能な改善を提言することができること
• 整備段階での不備・準備不足を、迅速・適切に軌道修正できること
• 運用テストの対象システムオーナーと適切にコミュニケートできること
• システムオーナーに対して当事者意識を与えることができること
• 内部監査部門の立上げ・育成を支援できること