Certified Public Accounting Firm

情報技術(IT)監査サービス (Japanese)

English Translation 英語の翻訳                                                                                                                                                            

Mandarin Translation マンダリン 翻訳

MaloneBailey (MB)のIT監査チームは、「ビッグ4」監査法人での経歴を持つシニアエキスパートで構成されており、暗号資産、小売、TMT、製造業など、さまざまな業界の大手企業におけるIT監査およびITリスク管理コンサルティングにおいて豊富な経験を有しています。当社のコアチームメンバーは、CPA、CISA、CIAなど、世界的に認められた資格を保有しており、これにより、お客様ごとにカスタマイズされた国際基準のITサービスソリューションを提供することが可能です。

SOC監査サービス(System & Organization Control/システムおよび組織の管理)

サービス組織の利用は効率化につながる一方で、リスクも生じます。顧客は、利用するサービスが安全かつ信頼できるものであるという証拠を求めています。SOC監査は、この課題に対処するものです。SOC監査は、サービス組織の内部統制が適切に設計され、効果的に運用されていることを検証する、独立した国際的に認められた評価を提供します。この監査は、サービス組織が信頼を築き、競争優位性を獲得するのに役立ちます。

SOCレポート(報告書)は、サービス提供組織の内部統制の有効性を検証するものです。サービス提供組織は、顧客のリスク評価やコンプライアンス要件への対応を支援するため、SOCレポートを広く活用しています。主なレポートの種類と評価基準は以下の通りです:

  • SOC 1:ICFR(財務報告に関する内部統制)に焦点を当てています
  • SOC 2:運用およびコンプライアンス管理に焦点を当て、AICPAの5つのトラスト・サービス基準(セキュリティ、可用性、機密性、処理の完全性、プライバシー)に基づいて評価されます

SOC監査は、サービス提供組織の内部統制の有効性を評価し、独立した監査意見を含む正式なSOCレポートを発行する保証業務です。

提供サービス:

  • 組織の具体的なニーズや目標に基づき、適切なSOCレポートの種類を評価します。
  • 統制の確認およびサンプルベースのテストを通じて包括的なSOC対応状況評価を実施し、不備箇所と是正措置の優先順位を特定します
  • 特定された不備箇所に対する是正措置の提言を行います
  • サービス内容、技術アーキテクチャ、および統制環境を明確に記述できるよう、システム説明書の作成および推敲についてクライアントを支援します
  • 正式な監査意見を含む独立した保証報告書を発行します

IT内部統制サービス

IT内部統制サービスとは、IT関連のリスクを管理、データのセキュリティを確保し、システムの完全性を維持、規制(SOX、SOCなど)への準拠を達成するために組織が導入する一連の体系的な方針、手順、および技術を指します。これには、論理的・物理的なアクセス制御、データの暗号化、バックアップ・復旧、変更管理、継続的な監視などの分野が含まれます。

IT内部統制サービスは、クライアント(企業・組織)がIT資産を保護し、不正やミスを防止、業務を最適化し、コンプライアンス要件(例:SOX、SOC 1/2、ISO 27001)や基準(例:COBIT)を満たすことを支援します。また、監査可能なガバナンスフレームワークを通じて、組織がサイバー脅威を軽減し、ステークホルダーの信頼を構築するのを支援します。

提供サービス:

  • リスク評価およびギャップ分析:ITシステム、プロセス、およびコンプライアンスフレームワーク(例:SOX、SOC 1/2、ISO 27001)における脆弱性を特定します。業界標準(例:COBIT)に対する統制のベンチマークなど
  • 統制の設計・実装:組織に合わせたITガバナンス方針(例:アクセス制御、データ暗号化、変更管理)を策定
  • 継続的な監視・改善:統制上の弱点に対する是正計画を提供
  • レーニング・啓発:IT内部統制のベストプラクティスについての啓発・教育や研修の提供

IT監査アウトソーシングサービス

IT監査アウトソーシングサービスでは、専門的な監査、内部統制評価、ITデューデリジェンス、データ分析、およびSOCレポートのレビューを提供します。

IT監査アウトソーシングサービスは、以下のメリットを通じて組織に価値をもたらします:

  • 専任の社内IT監査チームを配置する必要がなくなるため、コストを削減
  • 専門的な知見(CISA/CPA認定資格保有者)を提供
  • 実績のある手法を活用することで効率を向上
  • システムおよびプロセスに対する客観的な第三者評価を通じてリスクを軽減

SOX対応支援サービス(US-SOX Readiness Service)

サーベンス・オクスリー法(SOX)は、正確かつ信頼性の高い財務情報の開示を義務付けることで、上場企業の監督を強化し、投資家を保護することを目的とした米国の連邦法です。SOXの第404条は、財務報告および内部統制に関する厳格な基準を定めており、特に「財務報告に係る内部統制(ICFR)」に重点を置いています。

SOX Readiness Serviceとは、企業がSOX準拠を達成するために実施する準備活動を指します。このプロセスにおいて、企業は自社の財務プロセスを評価し、関連するすべての統制を文書化、その有効性を検証、不備を是正することで、SOXの要件への適合を確保します。

SOX対応により、企業は財務報告、業務効率、リスク管理、およびデータセキュリティを強化することができます:

  • 財務報告の信頼性を高め、投資家の信頼を強化する
  • 業務プロセスを最適化し、業務パフォーマンスを向上させる
  • リスク事象に起因する潜在的な損失を軽減するためのリスク対応戦略を策定する
  • 財務データの機密性、完全性、可用性を確保し、データセキュリティを強化する

提供サービス:

MB内部統制サービスチームとMB IT監査チームが連携し、SOX対応の統合ソリューションを提供します。当社のソリューションは、以下の側面を網羅しています:

  • 事前評価およびギャップ分析を実施し、統制上の不備を特定します
  • 中核となる業務プロセスをマッピングし、主要な統制を文書化します
  • 統制の設計および運用有効性を評価します
  • ベストプラクティスを活用し、是正措置を提言するとともに、その実施状況を追跡
  • SOX準拠のリスク評価フレームワークの構築、規制改正の解釈、および内部統制(ICFR)の有効性評価を支援
  • 統制に対する意識と理解を高めるためのスタッフ研修を実施
  • 継続的なモニタリングおよび導入後のレビューを支援

 

その他の情報技術(IT)監査・サービス:

  • システム移行ガバナンス・コンサルティングサービス

システム移行ガバナンス・コンサルティング・サービス

システム移行とは、企業のITシステム(ERPやCRMなど)を、インフラ、アプリケーション、データを含めて、レガシー環境から新しい環境へ移行するプロセスを指します。これは通常、システムの入れ替え、インフラの変更、またはアプリケーションの近代化を行う際に必要となります。

「システム移行ガバナンス・コンサルティング・サービス」は、システム移行に関する計画、リスク評価、設計、および移行管理措置の実施を網羅した、エンドツーエンドのプロジェクト管理コンサルティングを提供します。本サービスにより、企業は以下のことが可能になります:

  • 業務中断、データ損失、不正アクセス、設定ミスといった重大な移行リスクを軽減する
  • 強固なITガバナンスと内部統制により、監査対応体制を整備する
  • 規律あるプロジェクト管理を通じて、移行の効率性を向上させる

提供サービス:

移行前のリスクおよび管理措置の評価 

  • データ損失、不正アクセス、職務分掌上の問題、業務中断などのリスクを特定する
  • 主要な業務プロセス(例:収益、財務、給与計算)およびそれらの既存の統制を、レガシーシステムから対象システムへとマッピングする
  • ワークフローの変更や、レガシーシステムと対象システム間の機能の違いに起因するプロセスおよび統制上のギャップを特定し、是正措置となる統制を提案する

アクセスおよびセキュリティ管理

  • レガシーシステムへのアクセス権限の適切な時期での解除、および対象システムへの適切なアクセス権限の付与を監督する
  • 対象システムにおける職務分掌上の抵触を回避するため、ユーザーの役割と権限を確認する
  • 特権アクセス制御を確認し、権限の割り当てが効果的に管理されているかを評価するとともに、特権ユーザーの操作が監査可能であることを確保する

変更および文書管理

  • プロセスおよび管理に関する文書(フローチャート、リスクマトリックス、説明文書)を更新する
  • 管理責任者に対し、新システムにおける責任について研修を実施する
  • 緊急時/非常時対応プロセスが適切に監督され、事後検証が行われるよう、監視体制を設計する

データ移行の整合性検証

  • 主要なビジネスロジック(例:トランザクションのワークフロー、計算ロジックなど)が、移行先システムにおいても機能的に正しく動作していることを確認する
  • 照合管理措置を設計し、照合結果を確認することで、移行データの完全性、正確性、および一貫性を確保する

テストおよびUAT(ユーザー受入テスト)のサポート

  • 統制およびコンプライアンステストを含むテストシナリオの策定を支援する
  • テスト結果を確認し、統制が設計どおりに機能していることを保証する
  • 逸脱事項および必要な是正措置を文書化する

規制遵守および監査対応

  • 移行作業を規制要件(SOX、GDPRなど)に整合させる
  • 変更、承認、および例外事項に関する監査証跡を維持する
  • 移行に関する内部または外部の監査要請に対応する

移行後の検証

  • 本番環境において、統制が効果的に機能していることを確認する
  • 本番稼働後の統制上の問題に対する是正措置を支援する

サイバーセキュリティおよびデータセキュリティのコンプライアンスサービス

  • 財務報告に重要なITシステムの特定
  • 主要な領域(IT環境、アクセス管理、プログラム変更、システム開発、コンピュータ運用)におけるITガバナンスの評価

For additional information about how we can help you, please contact George Qin.

当社のサービスに関する詳細については、ジョージ・チンまでお問い合わせください。