Comments
Description
Transcript
翻 訳 文
別添4 International Education Guideline (国際教育ガイドライン 11 号) Information Technology for Professional Accountants (職業的会計人のための情報技術) ( 翻 訳 文 ) 11 目 次 序文 頁 職業会計士のための国際教育ガイドライン 本ガイドラインの目的 本ガイドラインの範囲 背景 前書き 謝辞 情報技術(IT)の定義 序論 1 1 1 2 2 3 4 4 アウトライン 業務領域 役割 会計士資格取得前と資格取得後 実務経験の重要性 コンピテンシー 専門的なコンピテンスの会計士資格取得前テスト 専門的なコンピテンスの会計士資格取得後テスト 9 9 10 10 11 12 12 会計士資格取得前のITの知識とコンピテンシー要件 序論 一般的情報技術知識での要求事項 ITコントロールの知識に関する必要条件 ITコントロールコンピテンシーの要求 一般的知識、ITコントロール知識、ITコントロール コンピテンシーのための研修コース ユーザーとして求められるコンピテンシー 会計士資格取得前のIT知識とコンピテンシーの要件 管理者として求められるコンピテンシー 会計士資格取得前のIT知識とコンピテンシー要件 設計者として求められるコンピテンシー 評価者として求められるコンピテンシー 代替的なコンピテンシー集合の創出 会計士資格取得前は、会計と情報システムに集中 13 14 15 15 16 17 17 18 19 19 21 22 23 会計士資格取得後に求められるIT関連知識と能力 序論 継続的専門家啓発 専門化 ユーザーとしての役割 管理者としての役割 評価者としての役割 頁 24 24 25 25 26 26 付録 役割ごとの職業会計士のために必要な IT 知識とコンピテンシーの範囲 27 IEG11 本文 序 文 職業会計士のための国際教育ガイドライン 1. 職業会計士のための国際教育ガイドラインは、「グッドプラクティス」又は現在の「ベ ストプラクティス」の達成方法に関するアドバイスやガイドラインを提供することによ り、職業会計士の教育における、一般に認められた「グッドプラクティス」の遂行を手 助けするものである。 2. 職業会計士のための国際教育ガイドラインは、国際教育基準に関する問題を説明し、例 示し、補足し、あるいは詳細に記述している。これにより本ガイドラインは、国際教育 基準に記述されている「グッドプラクティス」を実行し、達成するよう加盟団体を支援 している。本ガイドラインではプラクティスを規定しているだけでなく、広く、深く、 プラクティスを推奨し、加えて、加盟団体が採用を望んでいる現在の「ベストプラクテ ィス」と認められる模範的な方法やトレーニングについても概説している。 本ガイドラインの目的 3. 本ガイドラインは、IT環境において業務可能な職業会計士を育成するために、加盟団 体を支援することを意図している。社会は、職業会計士が役割を十分に発揮することを 期待している。それ故、職業会計士は、ITとコンピュータベースの情報システムの利 用についてのコンピテンスを示す必要がある。本ガイドラインは、IT環境において要 求される知識とコンピテンシーについて記述している。 本ガイドラインの範囲 4. 本ガイドラインは、ITコントロールに関する知識や必要なコンピテンスに裏付けられ た、ITに関する一般的知識に関する議論から始まっている。 5. この議論は、ITと情報システムに関して、職業会計士が担っているユーザー、管理者、 設計者、そして評価者という一般的な役割をカバーするように進められている。本ガイ ドラインは、加盟団体が、この文書で議論されている四つの役割のコンピテンシーから 導き出される代替的なコンピテンシー集合を創出する有用性を認めている。それは、例 えば、IT戦略アドバイザー及びコンサルタントといった役割である。 6. 基本的な一般知識、ITコントロールの知識と能力の必要条件、そして、ユーザー、管 理者、設計者、評価者に関する必要条件を、会計士資格取得前の必要条件と資格取得後 の必要条件の見地から、資格取得後の専門化との関連で紹介している。 7. 上記の領域において、正式の教育コースと実践による実務経験、及びトレーニングとい 1 IEG11 本文 う2つの教育方法が示されている。 背景 8. IFACの教育委員会は、1995 年 12 月に IEG - 11 を公表し、会計の教育過程におい てITのために求められる能力(すなわち、知識と技能)を特定した。本ガイドライン は、公表時から、その時々の状況に適合しているかどうかが確かめられ、現在に至るま で毎年改訂が検討されてきた。本ガイドラインは、1998 年6月に初めて改訂された。委 員会の旧版の目的は、職業会計士のための正式な教育カリキュラムに取り入れられる能 力(知識と必要な技能)について、ガイダンスを提供することであった。 9. 本版は IEG - 11 の2回目の改訂版である。教育委員会は、改訂した能力の必要条件 を提示することに加え、この2回目の改訂では、職場において有能な職業会計士が行わ なければならないタスクを具体的に例示(すなわち、コンピテンスの領域と要素)する こととした。 前書き 10. 情報技術(IT)は、ビジネスの世界に浸透している。この技術能力を有することは、 職業会計士にとっては急務である。 11. 特定された必要条件を示すインプットベースの能力アプローチ( IEG - 11 の旧版で採 用された)では、初めに、能力を備えるよう要求された知識、技能と専門家としての能 力に焦点を合わせている。しかしながら、委員会では初めに、職場で専門家によって行 われる役割、職務及び副次的な職務に焦点を合わせ、会計士資格を与える必要条件を指 定するためのアウトプットベースでの機能分析アプローチの価値を充分評価している。 後者のアプローチは世界中で多くの人に支持され、職業会計士の必要条件を特定する有 効なアプローチとして教育委員会が支持している。2つのアプローチの内容は、2001 年 の5月に発表された「職業会計士の業務とその準備のためのコンピテンスベースのアプ ローチ」という教育委員会の議事録によって紹介されている。 12.本改訂版 IEG - 11 は、機能分析の見地からガイドラインを加盟団体に提供することを 目指し、初めて知識に対応する要素とコンピテンシー領域の範囲を示している。この点 で本ガイドラインは、インプットベースとアウトプットベースの両方の仕様に従ってガ イダンスを作成している。 13.なぜなら、教育必要条件の多くは実務的スキルを伴い、正規の教育と専門家の業務環 境における実務経験との調和を通じて、最も満たされるからである。 14.加盟団体は、それぞれの国において、職業会計士のための教育とトレーニング環境に 一番適した方法により、本ガイドラインを適用すべきである。1つの簡単なアプローチ 2 IEG11 本文 は、ここで要求される知識を正式の教育カリキュラムガイダンスとし、ここで要求され るコンピテンシー(付録 2b ∼7)を職場訓練と経験プログラムのガイダンスとする ことである。 15.正式の教育構成において、本ガイドラインの幾つかの内容は、IT知識とコンンピテ ンシーの開発のために考案された内容を、特にITの研修コースと考えられていないコ ースと統合して提供することができる。例えば、コンピュータベースの業務系システム のある範囲は、財務会計コースに統合でき、経営情報システムのある範囲は、管理会計 コースに統合でき、コンピュータ環境の内部統制のある範囲は、会計監査コースに統合 できる。 16.正式のIT教育において、ケーススタディ、経験豊かな専門家との交流及び類似の方 法は、課題をより分かりやすく提示し、受講者が理論的なIT知識を実務的に理解する ことを補助するために利用されるべきである。 17.幾つかの加盟団体では、独自の教育コースや独自のプログラムを有する高等教育機関 における補助的コース、雇用者が提供するトレーニングプログラムなども設定したいと 考えるであろう。高等教育機関が十分に整備されていない場合には、必要な教育内容を 限定することや、高等教育機関で得た理論的知識を実務経験で補うことが必要とされる。 18.オンザジョブトレーニングは、この点に関して貴重な実務的経験の場を提供する。加 盟団体は、自国の会計士資格取得前の教育と経験の要件が、本ガイドラインで特定され た理論的知識と実務能力の両方を会得する機会を、意識の高い職業会計士に与えるよう デザインされていることを保証しなければならない。 19.本委員会は、加盟団体がそれぞれの固有の状況を考慮した上で、IT領域の教育にお いて異なったアプローチを採用するであろうことを認識している。すでに幾つかの加盟 団体においては進展しているであろうし、またそうでないケースもあるだろう。委員会 は、加盟団体が、ITの急速な発展に業界は待ったなしの状態であることを認識し、即 座にガイドラインを再検討して、どのように対処するか考えることをアドバイスしたい。 20.本委員会は、加盟団体の多様な状況とそのリソースについて、また、IT教育プログ ラムの作成における多額な開発コストについて理解している。この報告書によって、加 盟団体が開発コストの重複を回避するために協力し合う重要な余地があるということが 理解されるであろう。 謝辞 21. 本委員会は、今回のこの論文の研究と起草に当たり、オンタリオ州(カナダ)のワーテ ルロー大学 Efrim Boritz 博士に感謝の意を表する。また、このプロジェクトを監督する ために任命された小委員会の作業に対しても感謝の意を表する。この小委員会のメンバ 3 IEG11 本文 ーは、Mark Allison(議長−イギリス)、Shirley Reilly(カナダ)、及び Dato Abdul Halm Mohyiddin(マレーシア)である。 IFAC教育委員会の委員 本ガイドラインが承認された時の教育委員会のメンバーは、以下のとおりである。 Warren Allen, Chair(議長,ニュージーランド) Hector Ostengo(アルゼンチン) Shirley Reilly(カナダ) Shuang Li(中国) Bohumil Kral(チェコ共和国) Jozsef Rooz(ハンガリー) Yoram Eden(イスラエル) Dato Abdul Halim Mohyiddin(マレーシア) S. M. Zafarullah(パキスタン) Steve McGregor(南アフリカ) Usana Patramontree(タイ) Masum Turker(トルコ) David Hunt(イギリス) Gary Holstrum(アメリカ) 情報技術(IT)の定義 22.本ガイドラインで使用された「情報技術」又は「IT」という用語は、ハードウェア とソフトウェア製品、情報システムの運用、経営管理過程、及びこれらの製品やプロセ スを、情報の生産、情報システムの開発、運用、管理業務に適用するために必要な人的 資源と技能を包含している。 序論 23. ITは職業会計士の中核能力の1つであり、その爆発的成長と急速な変化のために、特 別な注意が必要とされる。 24. ITは営利組織及び非営利組織の活動を支援する点で重要な役割を果たしている。職業 会計士は、様々な類型の情報技術を幅広く使用することに加えて、しばしば、あらゆる 類型・規模の組織によって行われる様々な情報技術の採用、展開、利用に関する管理、 助言、評価の局面において重要な役割を果たしている。 25. 契約又は職務を引き受ける職業会計士は、要求される業務を実行するために必要な一定 レベルの能力を有していることが社会から期待されている。会計士団体は、全体として、 会員資格を得ようとする志願者が、所定のIT能力を有していることを保証する義務を 4 IEG11 本文 負っており、そして、会計士団体の信頼性は、この義務を満たせるかどうかに依存して いる。さらに、会計士団体は、会員資格を満たした後も、その会員が継続的専門教育を 通じて、関連領域の進展に遅れずに付いて行くことを保証する義務がある。 26. 以下のITのトレンドは特に注目に値する。 ・ 広範囲にわたる接続を含み、小型化を通じ、また、個人や専門家向けにデザインされ た様々な機器の強力なコンピューティング性能を有する、強力で安価なコンピュー タ・ハードウェアが広く利用可能になったこと ・ グラフィカル・ユーザー・インターフェース(GUI)を備える強力、安価かつ相対 的に使い勝手の良いソフトウェアの広範囲にわたる普及 ・ テキスト、グラフィック、オーディオ、ビデオ形式のデータ/情報の増大を促す、デ ータ取得と大容量保存の新技術、そしてマルチメディア手法による情報管理、提示、 通信の重視 ・ 情報技術、伝達技術の集中 −人々の働き方、買い物の仕方への影響− ・ コンピュータ、パッケージソフトウェア、ネットワークアクセスサービスのような IT製品やサービスの大量販売と大量配布 ・ 電子メール(E-Mail)やWWW(World Wide Web)のようなシステムを通じて、個 人間、組織の内部、組織相互間を繋げるネットワーク利用の増加 ・ コンピュータ化された情報の利用可能性の増大、アクセス可能なローカル・アクセス 及びリモート・アクセス設備 −インターネットを含む− ・ システム利用に対する障壁の削減 −会計及び広範な経営管理、戦略目的のため、あ らゆる規模の営利組織及び非営利組織に情報システムを広く普及させることの奨励 − ・ コンピュータ支援ソフトウェア工学(CASE)、オブジェクト指向プログラミング、 ワークフロー技術を含むシステム開発技術 ・ ITと業務プロセスの効果的統合に基づくビジネス・リエンジニアリング・アプロー チ ・ エキスパートシステム、ニューラル・ネットワーク、インテリジェント・エージェン ト、他の問題解決支援方法を組み込んだインテリジェントサポートシステムの継続的 開発 5 IEG11 本文 ・ コンピュータ支援デザイン(CAD)やコンピュータ支援生産(CAM)などの情報 技術、コンピュータ・イメージングシステム、エグゼキュティブ・インフォメーショ ン・システム(EIS)、電子会議システム(EMS)のより広範囲にわたる普及 ・ 業務システムと財務システムを統合するエンタープライズ・リソース・プランニング (ERP)やカスタマ・リレーションシップ・マネジメント(CRM)システムなど の経営システムの広範囲にわたる採用 ・ オンライン・ストアフロント、市場、交換、電子データ交換(EDI)、電子請求、 支払、資金移動のようなエレクトリック・コマースを通じて、企業対個人、企業対企 業の商用目的でのインターネットの利用が増加したこと 27. 前述のトレンドの結果引き起こされる成長と変化は、会計士団体が取り組まなければ ならない多くの重要な課題を生み出している。 ・ 情報技術は、組織が構造化され、管理され、運営される方法に影響を及ぼしている。 組織に影響を及ぼしている最も劇的な発展の1つは、事業とIT戦略の融合である。 ITは事業の始動を可能にするものであるから、企業はもはやIT戦略から独立して 事業戦略を策定することはできない。したがって、事業とIT計画及び新しいシステ ム内の効果的な財務管理と経営管理を統合する必要がある。伝統的に、職業会計士は、 事業システムへの投資の評価、事業システムの設計の評価、潜在的な弱点の報告を行 う業務を任されてきた。ITの進展は、そのような業務を巡る技術の集中的、組織的 な再構築によっても支えられている。会計専門家としての信頼性と、新しい戦略的I Tの始動と世間の信頼に応える能力の双方を維持するために、IT戦略における職業 会計士のコンピテンスは維持され、かつ、強化される必要がある。 ・ 情報技術は、会計的活動の性質と経済性を変化させている。職業会計士のキャリアプ ランと関連するトレーニング・システムは、会計の性質の変化を加味した現実的視点 に基づくものでなければならず、企業、政府、地域社会にサービスを提供する会計専 門家の変化しつつある役割と、職業会計士としての将来の成功に必要となる知識とス キルに基づいたものでなければならない。ITユーザー技能の中には今や必要不可欠 なものもあり、そして、職業会計士団体はメンバーの資格を与える前に、候補者には そのようなIT技能があることを保証しなければならない。さらに、業務系システム の信頼性に影響を与えうるIT関連のアドバイザリー業務や評価業務を行う職業会 計士が増加しているので、会計士資格取得前及び資格取得後の教育条件の双方を通じ て、職業会計士団体は、これらのサービスの質と信頼性を維持することが重要である。 ・ 情報技術は、職業会計士が関与する競争環境を変化させている。ITは、かつて職業 会計士の専門的な領域であった業務の幾つかを消失させ、あるいは、経済的魅力を減 少させている。例えば、以下のような例が挙げられる。 6 IEG11 本文 ・ かつて、会計及び会計システムの開発は事実上、職業会計士の専門領域であった。今 日では、安価で、使いやすい、そして、強力なパッケージ会計ソフトにより、こうし た業務の需要は減少し、あるいは、会計士でない者がこうしたサービスを提供するこ とが可能となっている。同時に、企業の目的や活動に対して、効果的かつ効率的な支 援を提供するシステムを企業が構築する支援を行うための、ビジネスとIT技能の双 方を兼ね備えた専門家への需要が増加している。 ・ 伝統的に、タックス・プランニングや税務申告書の作成は、多くの職業会計士にとっ て重要な業務であった。今日、廉価で、使いやすく、かつ機能豊富なパッケージソフ トウェアにより、税務申告書作成サービスの需要は減少している。かつて個人で開業 する専門家の専門的な領域であった職業的なタックス・プランニングに関する専門的 技能は、ますますソフトウェアの中に組み込まれ、会計士以外の者が職業会計士と競 合するタックス・プランニング業務を行うことが可能になっている。 ・ 過去、書類の照合やトレースを行い、様々な分析を実施し、監査の業務を記録するた め、内部監査又は外部監査専門技能を備えた会計士が多数必要だった。今日、業務記 録のコンピュータ化とコンピュータ利用監査ツールの利用によって、こうした業務は より速く、そして、より徹底的に実行できるようになっており、こうした業務を行う 伝統的な手法に対する需要は減少している。 28 . 情報技術の進化は、職業会計士に対して、情報作成と情報システムの設計、情報シス テムの管理・統制、情報システムの評価などの領域で、以下のような多くの新しい機会 を創り出している。 ・ 情報作成と情報システムの設計: 職業会計士は、伝統的に、経営意思決定を支援するための情報を作成してきた。新 しい情報技術の出現、情報源泉や情報への新しいアクセス手段の拡大により、職業 会計士は、特定の経営意思決定に際し、より豊富な情報の提供を支援するか、急増 する情報の中から不可欠な情報をより分けることを支援したりすることができる。 そのようなサービスの拡大は、伝統的な会計情報の枠を超え、非財務情報などの異 なるタイプの重要な情報と業績指標に対しても、職業会計士としての見識を持たな ければならないことを意味している。 ・ 情報システムは、競争力において有利な立場を達成するのための潜在的手段として見 られるようになっている。広いビジネス背景を有するという長所や、財務的技能と客 観性を有する職業会計士は、戦略的情報技術への投資評価に関連する貴重なアドバイ スを行うことや、経営者や時には立法や規制のために必要とされるコントロールシス テムについてもアドバイスすることができる。 ・ ほとんどの情報システムの導入には複数の目的が存在し、費用・品質・コントロール 7 IEG11 本文 の観点は常にトレードオフとなっている。職業会計士はITコントロールの問題を考 慮するに当たり、経営の視点を加えることができる。 ・ 情報システムの管理とコントロール: 情報システム管理技能とは、本来は技術的ではなく、むしろ戦略や経営計画の運営 とそれに関連するIT問題の理解、IT投資について適切な分析を実施する能力、 ITに関連する便益とリスクの理解、組織的な変化を起こしたり管理したりする能 力、ITに関する事項について効果的にコミュニケーションをとる能力などである。 ・ 情報システムの管理は、IT技能に欠けているトップマネジメントや業務管理者と、 ビジネス背景に欠けている技術者間のコミュニケーションの断絶ということに特徴 付けられる。職業会計士は、そのようなコミュニケーションの断絶を解消し、ITコ ントロールの問題を考慮するに当たり、経営の視点を加えることにより貴重なサービ スを提供することができる。 ・ 情報システムの評価: 職業会計士は、伝統的に内部や外部の監査人としての評価サービスを提供してきた。 情報技術が急成長するにつれ、システムの可用性、安全性、完全性、保守性のコン トロール、システム・インテグリティ (完全性、正確性、適時性、正当性)、そし て情報プライバシーといった情報システムのコントロールについての客観的評価の 需要が増加している。それ以外では、相互に矛盾するサブシステムとシステム資源 の非効率な利用といった分野でも問題が増加している。 29 . 以上のすべての分野は、多くの職業会計士が参加すべき重要な業務領域と考えられる。 しかしながら、これらの業務領域の幾つかは、職業会計士として独占できる領域ではな い。そして、それらの領域は一般には会計と関係付けられるものではないが、職業会計 士にとって重要な機会を与えるものである。 30. 世界中の職業会計士団体と会計士の教育機関では、メンバーが有すべき知識とコンピテ ンシーの体系を定義する必要性が議論されている。知識とコンピテンシーの一般的体系 を定義する試みは、幾つかの要因によって複雑になっている。会計職業は色々な領域で 働く様々な専門職であるということ、それぞれの領域で職業会計士は色々な役割に従事 していること、そして、ITの進展とそれに関連した会計サービスは、世界的に均一な ものではないということである。 31. それにもかかわらず、会計士の業務領域や役割が何であろうと、ITが専門的な会計職 業の業務を根本的に変えていることは明白である。したがって、職業会計士団体は、会 計士資格取得前の教育プログラム、資格取得前の実務経験、資格取得後の一般の業務領 域と専門分野の双方における専門教育に、重要なIT知識とコンピテンシーの領域を含 めることにより、教育過程を変更しなければならない。 8 IEG11 本文 アウトライン 業務領域 32. 職業としての会計とは、以下のような様々な分野で営まれる多種多様な専門的職業であ る。 ・ 工業と商業 ・ 公共事業 ・ 公共部門(政府と他の非営利団体) 33. 本ガイドラインは、すべての業務領域に適用されることが意図されている。次のセクシ ョンで議論される役割に関して整理された枠組みは、上記の三つの業務領域における要 望に対応できるように十分に広汎なものとなっている。 役割 34. それぞれの業務領域において、職業会計士は以下のような様々な役割に従事する。 ・ ユーザー ・ 財務管理者(会計士、コントローラ) ・ 財務情報システムの設計者(業務系システム設計チームかタスクフォースのメンバー、 財務情報の作成者、アナリスト) ・ 財務又は業務の内部監査人 ・ 外部監査人 ・ 外部の「アドバイザー」 (コンサルタント、会計士、税理士、管財人) 35. ITにおける特殊な必要性やケースは、異なる環境において様々な形がある。しかしな がら、IT の多くの局面は一般化できるものであり、すべての職業会計士が当然に共有 していることが期待される様々な教育的要素を提示することは、可能であり、また望ま れることである。 36. 本ガイドラインは、IT指向教育の組織化及び職業会計士の一般的な役割と、それに関 連した知識とコンピテンシーの要求事項に対するトレーニングのための枠組みを規定し ている。職業会計士の一般的な役割は、以下のとおりである。 ・ ITのユーザー ・ 情報システムの管理者 ・ 業務系システム(単独かチームの一部として)の設計者 ・ 情報システムの評価者 9 IEG11 本文 37. ユーザー、管理者、設計者及び評価者の4つの広い役割は、多くの職業会計士が実際に 働く領域と比較してさほど特殊なものではない。それらは、職業会計士が必要とする知 識とコンピテンスの鍵となる要素を代表しており、それ故、教育アプローチを整理する ための有用な枠組みを提供するものである。 38. 職業会計士は、与えられた期間と自己のキャリアを通して、一つ以上の役割を担うこと になる。しかしながら、本ガイドラインは、すべての職業会計士がこれらの役割を順番 に担うとは想定していない。 39. この文書で議論される設計者、管理者及び評価者の一般的な役割は、加盟団体の特定の ニーズに適合するものでないならば、この文書で議論されたコンピテンシーから導き出 して代替的なコンピテンシー集合を創出することができる。 会計士資格取得前と資格取得後 40. 本ガイドラインは、IT関連のコンピテンシーの要件を、会計士資格取得前と資格取得 後で区分している。本ガイドラインは、資格取得時に、すべての職業会計士は少なくと もユーザーと他の三つの役割のうち一つの役割(又は、加盟団体により定義される他の 役割)を担うと想定している。資格取得後は、職業会計士のキャリアとITコンピテン シーの必要条件は様々な方面に展開すると見込まれる。それ故、資格取得後のITコン ピテンシーの必要条件は、資格取得前の必要条件と同じ仮定には基づいておらず、それ らは本ガイドラインの別々のセクションで扱われている。 41. 会計士資格取得前の段階において、広範なITコンピテンシーが強調される。資格取得 後の段階では、業務領域と職業会計士の役割における専門的ニーズがより強調されてい る。 実務経験の重要性 42. 加盟団体は、会計士資格取得前の実務経験が、会計士としての活動と関連があるコンピ テンシー分野におけるIT関連の訓練機会を含んでいることを保証するために、その実 務経験をモニターすべきである。知識とコンピテンシーの適用を通して、実際の問題を 解決する能力の育成は、専門的な教育の主要な目的の1つである。この能力は、概念的 な知識が特定の問題に適用されうる適切な実務経験を通して、最も良く身につけられる。 職業会計士が、核となるITに関する知識とコンピテンシー分野におけるエントリーレ ベルの能力を獲得していることを保証するために、すべての資格所得前の職業会計士は、 それぞれの加盟団体において、資格取得前に、核となるIT関連知識とコンピテンシー を開発するのに十分な訓練を受け、実務経験を積まなければならない。加盟団体は、資 格取得候補者が資格取得前において、そのような訓練を受けていることを保証するため に、その経験をモニターしなければならない。 10 IEG11 本文 コンピテンシー 43. コンピテンシーとは、専門的な基準によって定義されるレベルで専門的な職務を行う能 力である。専門的な活動は、概念的職務と具体的職務の双方からなる。職業会計士のた めのITコンピテンシーの要件を考慮するに当たって、ITの関連概念的知識と実用的 なIT技能の両方の必要性を強調することが重要である。 44. 一般的に概念的教育は、特定の専門的な主題に関する知識の会得と理解を意図している。 実用的な技能とは、概念的知識を適用し、情報を分析、統合、評価する能力である。概 念的な教材だけを使った教育アプローチでは、職業会計士にとってのいかなる業務領域 や、いかなる役割においても十分なものとはいえない。同様に、実用的な技能の発達は、 事前に必要な知識を身に付け、理解を深めることにより促進されるものと一般的に認識 されている。したがって、概念的な教材は、実務的な技能の発達のための基礎を形成す るものでなければならない。 45.本ガイドラインにおいて「知識」という語句が使用されている場合、それは暗黙のうち に専門家が使う概念に関係したものである。コンピテンスとは、加盟団体によって制定 される専門的な基準によって必要とされたレベルに則って、特定の業務を行う能力であ る。 46. 本ガイドラインでは、職業会計士のために、以下のIT知識とコンピテンシー要件を特 定している。 ・ 業務系システムに関連した一連のITに関する一般的知識として要求される項目 ・ ITコントロールと関連した一連の知識として要求される項目 ・ ITコントロールと関連した一連のコンピテンシーとして要求される項目 ・ ユーザーとしての役割に関連した一連のコンピテンシーとして要求される項目 ・ マネージャー、設計者、評価者としての役割(又は、加盟団体によって定義される他 の役割)に関連した一連のコンピテンシーとして要求される項目 47. ITに関する一般的知識とITコントロールに関する知識の要件が、ユーザー志向のコ ンピテンシーの要件の基礎を形成するという意味において、要請される教育内容の一つ 一つは、様々なケースに現れるパーツ的な要素ということができる。これらはまた、他 の役割に関するコンピテンシーの要件の基礎を形成する。加えて、ユーザー、マネージ ャー、設計者、そして評価者の役割に関連するコンピテンシーの要件は、以下の点でお 互いにパーツ的な要素になると考えられる。設計者としての役割を通して得られるコン ピテンシーは、会計士の管理的役割を発達させ、設計者とマネージャーの役割において 得たコンピテンシーによって、会計士の評価者としての役割を発展させることができる。 48. 本ガイドラインは、職業会計士が従事する幾つかの一般的なITの役割に関連する多く 11 IEG11 本文 のコンピテンシーを特定している。コンピテンシーは、それらの役割の実行者が通常行 うと予想される活動と、それらが達成すると通常予想される結果を反映している。しか しながら、役割に精通した開業者が有するコンピテンシーと、会計士資格取得の観点か ら職業会計士に期待されるコンピテンシーを区別することは重要である。一般に、資格 取得の観点から考えられる意欲的な職業会計士のためのコンピテンシーの要件は、役割 に熟達した開業者が有するコンピテンシーのレベルより低いものである。 49. 加盟団体は、会計士資格取得の観点から、また、資格取得後の専門化のために、指定さ れたコンピテンシーが達成されたということ示すために、職業会計士が会得しなければ ならない業務遂行能力基準を設定すべきである。 専門的なコンピテンスの会計士資格取得前テスト 50. それぞれのコンピテンシー要素の評価は、現場指揮者による現場業務評価、業務シミュ レーションとなるケーススタディなどの知識のテストと、異なるコンピテンシーの評価 における適切な方法によって行う。 51. 専門的なコンピテンスの会計士資格取得前テストは、加盟団体が与える資格を得るため に努力した会計士が、エントリーレベルで機能することが期待される初歩的な役割にお ける適切なIT知識とコンピテンシーがカバーされていなければならない。このような テストにおけるIT分野への比重は、専門的教育の核心部分及び職業会計士のためのコ ンピテンシーとして要求される項目における重要性と釣り合ったものでなければならな い。 52. ITに関連する専門的コンピテンスのテストは、知識と理解のテストのみならず、エン トリーレベルの職業会計士が、業務を行ううえで適切な業務領域において代表的に使用 されるような、適用、分析、統合、評価といったより高いレベルのコンピテンシーをテ ストすることに焦点を当てたものでなければならない。 53. 会計士資格取得候補者に資格を授与するときには、最低限、監督なしでエントリーレベ ルのライセンスを受けた開業者の業務遂行能力水準のコンピテンシーを実証することが できるようにすべきである。 専門的なコンピテンスの会計士資格取得後テスト 54. 会計士資格取得後の段階では、専門的コンピテンシーのテストの主たる目的は、職業会 計士が特定の領域で専門家レベルのコンピテンシーを保持しているということを確認す ることにある。 55. それぞれのコンピテンシー要素の評価は、現場指揮者による現場業務評価、業務シミュ レーションとなるケーススタディなどの知識のテストと、異なるコンピテンシーの評価 12 IEG11 本文 において適切な方法によって行う。 56. 専門分野におけるコンピテンシーを評価するテストは、業務領域に関連しているITコ ンピテンシーに関する知識の範囲と問題に対する理解力を含んだものでなければならな い。 会計士資格取得前のIT知識とコンピテンシー要件 序論 57. 本章では、前章において特定された職業会計士としての役割ごとに、求められる幅広い IT知識とコンピテンシー要件を明らかにしている。また、詳細に記載された付録によ って、これらの内容は補足されるとともに、本ガイドラインは、それぞれ広い知識領域 とコンピテンシー構成単位を、主要項目(そして、説明に役立つ副題)とコンピテンシ ー要素に分解している。 58. 会計士資格取得前の段階において、すべての職業会計士は、第 63 項及び付録1「一般 的IT知識要件」に記載されたITに関する一般的知識を習得しなければならない。 59. また、会計士資格取得前の段階において、すべての職業会計士は、第 65 項から第 67 項、及び付録2a、2b「ITコントロールの知識」、「ITコントロールのコンピテン シーの要件」に記載されているITコントロールに関する知識とコンピテンシーを習得 しなければならない。 60. また、すべての職業会計士は、第 76 項から第 81 項、及び付録3「ITユーザーとし ての職業会計士」に記載されたITユーザーとしてのコンピテンシーを習得しなければ ならない。 61. さらに、すべての職業会計士は、資格取得前の教育のパートとして、資格取得当初の段 階で機能すると期待される役割を果たすために、少なくとも本ガイドラインに記載され ている他の役割の1つに集中して、コンピテンシーを習得することが期待される。これ らの役割については、以下で議論されている。 情報システムの管理者 − 第 82 項から第 90 項、付録4 業務系システムの設計者 − 第 91 項から第 100 項、付録5 情報システムの評価者 − 第 101 項から第 110 項、付録6 62. 本ガイドラインで議論される設計者、管理者及び評価者の一般的な役割は、加盟団体の 特定のニーズに適合するものではないかもしれない。そのような状況があれば、加盟団 13 IEG11 本文 体は、本ガイドラインで議論されたコンピテンシーから導き出して、代替的なコンピテ ンシー集合を創出することができる。そのような集合に関する例は、第 111 項に記載さ れている。 一般的情報技術知識での要求事項 63. すべての職業会計士は、その主要な業務領域又は役割にかかわらず、業務系システムに 関連する以下のIT関連知識を習得することが不可欠である。 ITアーキテクチャ ・ 一般システム概念 ・ 典型的なビジネスと会計業務における取引処理 ・ システムの物理的及びハードウェア構成 ・ ネットワーク及び電子的なデータ転送 ・ ソフトウェア ・ プロトコル、標準規格、利用技術 ・ データ編成とアクセス方法 ・ IT組織のIT専門家とキャリアパス システムの導入/開発過程 ・ システムの導入/開発方法論 ・ 調査と実行可能性の研究 ・ 要求分析と初期のデザイン ・ システム設計、選択、導入/開発 ・ システムの実装 ・ システム保全とプログラム変更 ・ プロジェクトマネジメント/計画/制御方式と標準規格 IT管理 ・ IT組織 ・ ITの運用、有効性及び効率の管理 ・ 資産管理 ・ 変更管理と問題管理 ・ IT資源の財務管理と性能のモニタリング IT 戦略 ・ 企業戦略とビジョン ・ 現在と将来のIT環境評価 ・ IT戦略計画 ・ 継続的な統制とモニタリング過程の結果 14 IEG11 本文 業務プロセスの遂行 ・ 利害関係者とその要求事項 ・ 企業のビジネスモデル ・ リスクと機会 ・ 企業のビジネスモデル、プロセス及び解決策へのITの影響 64. このガイダンスの付録1では、すべての職業会計士が資格取得前に理解すべき主要な知 識内容について、さらに詳細な内容を提供している。 ITコントロールの知識に関する必要条件 65. すべての職業会計士は、その主要な業務領域又は役割にかかわらず、業務系システムに 関連する以下のITコントロール知識を習得することが不可欠である。 ・ コントロールのフレームワーク ・ コントロール目標 ・ コントロール階層 ・ コントロール責任 ・ 統制環境 ・ システムの導入/開発コントロール ・ リスク評価 ・ コントロール活動 ・ 情報とコミュニケーション ・ コントロール遵守のモニタリング 66. 本ガイダンスの付録2aでは、すべての職業会計士が資格取得前に理解すべき主要な知 識内容について、さらに詳細な内容を提供している。 ITコントロールコンピテンシーの要求 67. すべての職業会計士にとって、その専門分野にかかわらず、コントロールの問題が特に 重要である。なぜならば、コントロールはすべての職業会計士にとって中心となる関心 事であり、特に強調されなければならないことであるからである。したがって、すべて の職業会計士は、業務系システムに関連するITコントロールの様々なコンピテンシー を身に付けなければならない。 ・ コントロールを分析評価するための適切な基準の選択 ・ 統制環境の評価 ・ システム導入/開発過程コントロールの評価 ・ リスク評価過程と活動の評価 ・ システム運用管理のコントロールの評価 ・ モニタリングプロセスと活動の評価 15 IEG11 本文 68. 本ガイドラインの付録2bでは、すべての職業会計士が資格取得前に習得することを要 請されるコンピテンシーの特定項目をリストしている。 一般的IT知識、ITコントロール知識、ITコントロールコンピテンシーのための 研修コース 69. コンピテンシー開発の成果が、費やされた時間やその育成されたコンピテンシーのタイ プに結び付けられないとしても、第 63 項から第 65 項で特定している幅広い知識領域と それに関連した主要な内容は、専門研修機関で一般的に紹介されるレベル、最低限、複 数の専門研修コースの内容と同レベルで要請されるであろう。カバーされるべき内容は、 多くの研修コースの中でに波及され、統合されてもよい。また、独自のIT研修コース や大学教育による専門的教育は必要ではなく、研修と経験学習の組み合わせによって、 本ガイドラインに記述されたコンピテンシーを身につけるべきである。 70. 本ガイドラインにおいては、専門的レベル研修は、約 40 時間の講義と 80 時間のその 準備、宿題や関連項目のための学習が必要と想定している。 71. 使用される教材のレベルは、加盟団体が設定する基準によって定義されるコンピテンシ ーレベルに依拠している。 72. 本ガイドラインの付録1、2a及び2bでは、幅広い知識領域とコンピテンシー領域を 提供している。その主要な内容とコンピテンシー要素は、すべての職業会計士が資格取 得前に身に付けなければならない一般的なIT知識、ITコントロール知識、及びIT コントロールコンピテンシーとして第 63 項から第 67 項に記載されている。これらは、 ITの発展に従い変化していくものであるが、ここに記載する様々な知識とコンピテン シー領域は、職業会計士のためのITカリキュラムにおいて要求される最低限の範囲と して広く認められたものである。 73. 本ガイドラインの幾つかの内容は、拡大され、特にITの研修コースと考えられていな いコースと統合して提供することができる。例えば、コンピュータベースの業務系シス テムのある範囲は、財務会計コースに統合でき、経営情報システムのある範囲は、管理 会計コースに統合でき、コンピュータ環境における内部統制のある範囲は、会計監査コ ースに統合できる。 74. 幾つかの加盟団体では、独自の教育コースや独自のプログラムを有する専門的教育機関 における補助的コース、雇用者が提供するトレーニングプログラムなども設定したいと 考えるであろう。専門的教育機関が十分に整備されていない場合には、必要な教育内容 を限定したり、専門的教育機関で得た理論的知識を実務経験で補うことによってコンピ テンシーの育成を行うことになる。 16 IEG11 本文 75. 職業会計士には、理論上の知識と同様に、実務的に有効なスキルがなければならない。 内部統制に関するコンピテンシーの開発では、ケーススタディ、経験豊かな専門家との 交流及び類似の方法が重要である。また、オンザジョブトレーニングは、これらのコン ピテンシーに関して貴重な実務的経験の場を提供する。加盟団体は、会計士資格取得前 の教育とオンザジョブトレーニングが、第 63 項から第 67 項で特定されている知識とコ ンピテンシーを会得する機会を、意識の高い職業会計士に与えるようにデザインされて いることを保証しなければならない。 ユーザーとして求められるコンピテンシー 76. 様々なITユーザーが、目的に応じて情報システム・ツールやITを利用するが、目的 ごとにツールや技術のタイプも多種多様となる。ユーザーがITを用いて行う典型的な 業務は、データの収集と要約、データの分析をベースにした代替的な行動の選択、戦略 と戦術の考案、組織単位での営業上の行動計画と予定、資源配分の指揮、業務の実行、 業績評価、観察・判断・決定の文書化、さらに人々とのコミュニケーションなどである。 すべての職業会計士は、これらの幅広い業務と情報システムとツールが、その業務に適 用できる方法に精通すべきである。 77. ITユーザーとしての職業会計士は、情報システムアーキテクチャ、ハードウェア、ソ フトウェア、データ構造といった事項に触れることになる。情報システムは、特定の組 織のニーズに適合するように設計されるため、様々な形態をとっている。それ故、ユー ザーが、あらゆるタイプの情報システムアーキテクチャ、ハードウェア、ソフトウェア、 データ構造の専門家になることは不可能であるが、すべての会計士が持たなくてはなら ない基礎的なコンピテンシーがある。 78. ユーザーとしての役割に関連する様々なコンピテンシーには以下のものがある。 ・ ビジネス、会計上の課題に適切なITシステム、ツールを適用する能力 ・ ビジネスと会計システムについて説明する能力 ・ 個々のシステムにコントロールを適用する能力 79. 本ガイドラインの付録3では、資格取得前にすべての職業会計士が会得すべきこれらの コンピテンシー領域における特定の要素を示している。 会計士資格取得前のIT知識とコンピテンシーの要件 80. これらのコンピテンシーは、会計の研修コース、オンザジョブトレーニングなどを通じ て、ビジネスや会計と関連付けて開発していくことが理想である。 81. 第 70 項で記述しているように、第 76 項から第 80 項で概説されたユーザーコンピテン 17 IEG11 本文 シーを習得させる研修が、意欲的な会計士に対して提供されなければならない。ユーザ ーコンピテンシーの開発は、IT研修以外の分野にまで波及し、統合されるべきである。 ユーザーとして求められるコンピテンシーの多くは、実務的なスキルを伴うため、集合 研修と職場における実務の組み合わせによって開発されることが望ましい。 管理者として求められるコンピテンシー 82. 多くの職業会計士は、情報システムと関連することになる財務と管理の役割を担ってい る。ITの発展は、情報システム管理者を含む多くの新たな職業専門家集団を生み出し たが、中小規模の組織に属する多くの会計士は、他の管理者と連携を取りながら、情報 システムを管理する役割を果たしている。 83. この能力に関連した職業会計士の業務として、企業目的の実現支援のためのIT利用の 戦略的計画立案への参画、IT運営委員会のメンバー、ITにおける投資機会の評価、 通常の投資案件の優先順位付け、ITの生産性・サービス品質・IT利用の経済性、及 び購入・開発・変更と問題マネージメントのモニタリングシステムに対する管理活動等 がある。 84. IT管理者としての役割を達成するために、職業会計士は、ITが果たせる業務機能に ついての確実な理解及び計画と調整、組織化と人員配置、指揮と監督、ITにおけるコ ントロールとコミュニケーションといった管理プロセスを身につけなければならない。 85. 管理者としての役割に関連する様々なコンピテンシーには以下のものがある。 ・ 企業のIT戦略の管理能力 ・ IT組織の管理能力 ・ IT運用の有効性と効率性の管理能力 ・ 組織内コンピュータの管理能力 ・ EUC(エンド・ユーザ・コンピューティング)の管理能力 ・ ITをめぐる財務管理の維持能力 ・ ITコントロールの管理能力 ・ システムの取得、開発、導入の管理能力 ・ システムの変更と問題マネージメントの管理能力 86. 本ガイドラインの付録4では、これらのコンピテンシー領域の中の特定の要素を示して いる。 87. 管理者としての役割に対して期待されるコンピテンシーのレベルは、あるビジネス環境 において例示されたコンピテンシーに関連した重要性な事項について、記述又は説明で きる能力によって裏付けられるような知識と理解力である。この役割の候補者には、チ ームの一員又は補助者として、このセクションに例示される活動に参加して、効果的に 18 IEG11 本文 経験を積む機会が与えられるべきであるが、その際に、研修としての位置付けを明確に して、コンピテンシーの熟達を実践させるようなことを期待すべきではない。 88. 会計士資格取得前のレベルにおいて、候補者が管理者の役割に関して会得することがで きる実用的なスキルの深さは限定されるが、実務の中で重要なITマネージメントの問 題に向き合うことが望まれる。研修教材と資格取得前の業務内容の両方が、資格取得前 に必要なITコンピテンシーを得る機会として、意欲ある職業会計士に提供されるべき である。教育プログラムは、ITコンピテンシーを向上させるために、ケーススタディ、 経験豊富な専門家との交流や類似の技法を用いることができる。新人の管理能力に関す るオンザジョブトレーニングは、同じくコンピテンシーを身につけるのに役立つものと なる。 会計士資格取得前のIT知識とコンピテンシー要件 89. 管理者として求められるコンピテンシーは、第 85 項に示したITに関するコンピテン シーに加えて、管理者が、経営者、ユーザー、運営委員会、情報システムサービス提供 者、内部従業員、外部契約者等と折衝する時のコミュニケーション、及び対人関係のス キルを含んでいる。一般的なコミュニケーションと対人関係のスキルとは異なり、これ らのスキルはIT分野において身に付けられなくてはならない。 90. 意識の高い会計士が、第 82 項から第 89 項で概説されたコンピテンシーを会得するた めには、一般的なITに関する知識、ITコントロールに関する知識とコンピテンシー、 そしてユーザーとして求められるコンピテンシーに加えて、第 70 項で記述されているよ うな研修コースが必要である。管理者として求められるコンピテンシーには、多くの実 務的なスキルが含まれるため、講義と職場におけるスキルの実践の組み合わせが最も有 効であると考えられる。 設計者として求められるコンピテンシー 91. 職業会計士は、従業員又は外部のアドバイザーとして、何十年間も財務システムの設計 に関係している。過去においては、このような設計の役割は、手書き又はスタンドアロ ンの会計システムという環境におけるものであった。今日、会計士は、業務プロセスの 自動化と財務と運営システムの統合化が加速するIT環境において、類似のサービスを 提供し続けることを期待されている。具体的には、必要な業務系システムを設計するた めに働いている企業内のチームの一員として、又は企業内のシステム開発チームの一員 として、あるいはクライアントのために業務系システムを設計することを手伝う外部の アドバイザーとして、その役割を遂行している。 92. 職業会計士の設計活動は、しばしば、ユーザーニーズの識別、提案された解決策のコス トと便益との考察、ハードウェア、パッケージソフト、不可欠なコントロールの特徴、 その他の構成要素の適切な選択と組み合わせ、そして、業務プロセスを伴う購入又は開 19 IEG11 本文 発されたシステムの導入と統合に重点がおかれる。職業会計士には、様々な組織目的(営 利、非営利、公的機関によって異なる)の達成をサポートするために、業務系システム に関する確かな理解と様々なITに関する能力が求められている。 93. 設計者としての役割に関わる様々なコンピテンシーには以下のものがある。 ・ 企業の業務プロセスと組織における情報の役割に関して、分析・評価する能力 ・ プロジェクトマネジメント手法を設計する能力 ・ システム調査とプロジェクト開始方法を設計する能力 ・ ユーザーの要件定義と初期設定方法を設計する能力 ・ 詳細なシステム設計の購入・開発方法を設計する能力 ・ システムの導入方法を設計する能力 ・ システム保全と変更管理を設計する能力 94. 本ガイドラインの付録5では、これらのコンピテンシー領域の中の特定の要素を概説し ている。 95. 設計者としての役割に対して期待されるコンピテンシーのレベルは、あるビジネス環境 において例示されたコンピテンシーに関連した重要性な事項について、記述又は説明で きる能力によって裏付けられるような知識と理解力である。この役割の候補者には、チ ームの一員又は補助者として、このセクションに例示される活動に参加して、効果的に 経験を積む機会が与えられるべきであるが、その際に、研修としての位置付けを明確に して、コンピテンシーの熟達を実践させるようなことを期待すべきではない。 96. 設計者になろうとする人にとって、実務的スキルが会計士資格取得前のレベルであるう ちに、システム設計のキーフェーズの中で使用される重要な技術の幾つかに実際に接す ることは、避けられない制限があったとしても望ましいことである。教材及び資格取得 前の業務内容の両方が、意欲的な職業会計士に必要なコンピテンシーを得る機会として 提供されるべきである。能力開発を支援する教育プログラムは、事例研究、経験を積ん だ専門家との交流等によって構成される。オンザジョブトレーニングによっても、資格 取得に先立って設計経験を提供することができる。 97.システム設計スキルは、一般に対話型で適用される。したがって、IT環境における コミュニケーションスキルは、職業会計士が情報システム設計の役割を担うために必要 とされるスキルの本質的なものである。 98. 職業会計士の情報システム設計コンピテンシーの開発は、組織のビジネス及びサービス 目的に適合したものでなければならない。したがって、システム設計コンピテンシーの 開発を目的としたIT教育プログラムや研修コースは、技術志向ではなく経営志向でな くてはならない。 20 IEG11 本文 99. 特定の技術に実務的に接することが望ましい間は、システム設計コンピテンシーの開発 の教育プログラムでは、有効なアドバイザリー業務を提供しうるような高度な技術が強 調されるべきである。例えば、設計の問題分析、ユーザー情報に合わせたコントロール 必要条件の作成、企業のビジネスかサービス目的に照らした代替設計の評価などである。 100. 意識の高い会計士が第 91 項から第 99 項で概説されたコンピテンシーを会得するため には、一般的なITに関する知識、ITコントロールに関する知識とコンピテンシー、 そしてユーザーとして求められるコンピテンシーに加えて、第 70 項で記述されているよ うな研修コースが必要である。設計者として求められるコンピテンシーには、多くの実 務的なスキルが含まれるため、講義と職場におけるスキルの実践の組み合わせが最も有 効と考えられる。 評価者として求められるコンピテンシー 101. 評価者としての会計士の役割は、正式な監査の役割として認められるかどうかに係わ らず、内部監査、外部監査及び他の評価者として役割の機能を包含している。 102.これらの能力の会得によって、職業会計士は、以下のような様々な業務に従事すること ができる。 ・ 組織目的を遂行するための情報システムの効率性と有効性の程度の決定 ・ 財務数値の公平性と関連する会計記録の正確性と完全性の決定 ・ 経営方針、関連する法令、その他関連する規則への遵守の程度の決定 ・ 財務報告プロセス、資産の保全、データのインテグリティ、情報セキュリティとプラ イバシー、情報システム処理の継続体制等を対象とした内部統制の強弱の評価 103. 会計士資格取得前の段階で、この分野において要求されるコンピテンシーは、加盟団 体が向いている方向性に依存する。例えば、方向性が財務会計に向いている場合に要求 されるコンピテンシーでは、排他的ではないが、財務諸表監査に必要とされるITコン ピテンシーに焦点が当てられる。しかし、方向性が管理会計に向いている場合は、その ような内容ではなく、例えば、情報システムの効率性と有効性の評価と、それに関連す る方針や法規則の遵守のためのITコンピテンシーがより強調される。 104. 例えば、制度会計の領域において要求されるコンピテンシーでは、財務諸表監査に必 要となる次のようなITコンピテンシーに焦点が当てられる。 ・ 取引の流れや監査に関連するコントロール要素の理解を会得し、文書化する能力 ・ 財務報告プロセスと資産保全に関する情報システムのコントロールについて、テスト し、評価する能力 ・ 正確性の検証と財政状態を実証するために、コンピュータ記録をテストする能力 21 IEG11 本文 105. 管理会計の領域においては、上記のような内容ではなく、次のようなITコンピテン シーがより強調される。 ・ 情報システムの有効性と効率性を評価する能力 ・ 情報システムが、どの程度ユーザーニーズに適合しており、会社の目的を支援してい るかを評価する能力 106. 評価者としての役割を果たすすべての職業会計士は、資格取得前において、限定的な 指導のもとで、情報システムに関する特定の状況を加味し、業務領域に特有の形式で作 成された評価方法を計画し、実行し、結果を伝達する能力を有しなければならない。 107. 評価者としての役割に関連する様々なコンピテンシーには、以下のものがある。 ・ システム評価を計画する能力 ・ コンピュータ支援監査技法(CAAT)を含む、システムを評価する能力 ・ 評価の結果とフォローアップを伝達する能力 108. 本ガイドラインの付録6では、これらのコンピテンシー領域の中の特定の要素を示し ている。 109. 評価者としての役割に対して期待されるコンピテンシーのレベルは、あるビジネス環 境において例示されたコンピテンシーに関連した重要な事項について、記述又は説明で きる能力によって裏付けられるような知識と理解力である。この役割の候補者には、チ ームの一員又は補助者として、このセクションに例示される活動に参加して、効果的に 経験を積む機会が与えられるべきであるが、その際に、研修としての位置付けを明確に して、コンピテンシーの熟達を実践させるようなことを期待すべきではない。 110. 意識の高い会計士が、第 101 項から第 109 項で概説されたコンピテンシーを会得する ためには、一般的なITに関する知識、ITコントロールに関する知識とコンピテンシ ー、そしてユーザーとして求められるコンピテンシーに加えて、第 70 項で記述されてい るような研修コースが必要である。評価者として求められるコンピテンシーには、多く の実務的なスキルが含まれるため、講義と職場におけるスキルの実践の組み合わせが最 も有効と考えられる。 代替的なコンピテンシー集合の創出 111. 本ガイドラインで議論されている設計者、管理者及び評価者の一般的な役割は、加盟 団体の特定のニーズに適合するものではないかもしれない。そのような状況があれば、 加盟団体は、会計士資格を有するメンバーの役割や職業を反映して、本ガイドラインや 他で議論されたコンピテンシーから導き出す代替的なコンピテンシー集合を創出するこ とができる。そのようなコンピテンシー集合の例として、IT戦略アドバイザーやコン 22 IEG11 本文 サルタント(内部又は外部に対する)の役割に関連して、下記のものがある。 ・ ビジネスIT戦略プランニング ・ 情報システム管理 ・ 企業情報技術アーキテクチャ ・ システムの信頼性 ・ システム開発、取得、導入、プロジェクト管理 ・ 業務プロセスの改善 112. 本ガイドラインの付録7では、これらのコンピテンシー領域の中の特定の要素を示し ている。 会計士資格取得前は、会計と情報システムに集中 113. このセクションより前の項の中で、職業会計士として要求される資格取得前における ミニマムな知識とコンピテンシーを概説した。一般的IT知識、ITコントロールの知 識、ユーザーの役割としてのコンピテンシー、また管理者、設計者、評価者(又は加盟 団体によって定義付けられた代替的役割)のうちの1つに関連したコンピテンシーの要 求事項は、4年生大学のコースにおけるものと同等である。 114. しかしながら、加盟団体は、高度なITコンピテンシーを有する職業会計士を育成す るために、最低必要条件を高めることを望むだろう。 以下のコースは、会計と情報シス テムを集中的に学ぶために提案されるものである。 以下の3項目 ・ 一般的なIT知識 ・ ITコントロール知識及びコンピテンシー ・ ITユーザーとしてのコンピテンシー 以下の3項目 ・ 設計者としてのコンピテンシー(例えば、ITアーキテクチャ;システム開発・導入、 インプリメンテーション、プロジェクト管理;プログラミング、データ及びオブジェ クト構造;分析、モデリング及び設計、 システムインテグレーション) ・ 管理者としてのコンピテンシー(例えば、ITポリシー及び戦略、業務プロセス・エ ネイブルメント、IT管理) ・ 評価者/監査人としてのコンピテンシー(例えば、システムの信頼性、電子商取引の 保証業務、コンピュータ利用監査技術) 以下の1項目 23 IEG11 本文 ・ 電子商取引(例えば、電子商取引インフラストラクチュア;電子商取引モデル、付加 価値の提案と戦略、マーケティング、ウェブサイト設計、オーダー処理、オーダー履 行、サプライチェーン、システム信頼性、問題の調整、パフォーマンス・メトリクス) 以下の3項目のうちいずれか ・ 企業システム(例えば、企業ITアーキテクチャ; ERP・顧客管理、サプライチ ェーン・マネジメント、システムインテグレーション) ・ 知識管理(例えば、知識体系;意思決定支援、イントラネット及び外部ネット、 ビ ジネス情報技術、データ抽出、異種データの結合、ユーザー・インターフェース設計; データウェアハウスの生成・開発・使用及びメンテナンス) ・ ITコンサルティング(例えば、IT戦略計画、企業ITアーキテクチャ、業務プロ セス・エネイブルメント;システム開発・導入、インプリメンテーション、プロジェ クト管理、IT管理、システム信頼性) 会計士資格取得後に求められるIT関連知識と能力 序論 115. 本ガイドラインのこの部分は、会計士資格取得後に求められるIT知識と能力につい て述べている。概括的に言えば、ここでは高レベルの知識に注目し、専門的なコンピテ ンシーに言及している。ITに関する資格取得後の教育の要件は、資格取得後に職業会 計士が選択したIT分野で、能力とサービス品質の維持を確保することである。 116. 会計士資格取得後のカリキュラムにおいて、会計士は資格取得前と同じ分野で働き続 けることもできるし、他の分野に移ることも、あるいは一般的な役割より専門的な分野 に軸足を置くようにすることもできる。例えば、当初、公会計分野で資格を取得した管 理会計士が、その後製造業で働くかもしれない。同様に、初めに公的分野の会計士とし て資格を取得した人が、特定の産業に関する経営指導の資格で働くことや、特定のハー ドウェア又はソフトウェアプラットホームに関連して働くことになるかもしれない。 継続的専門家啓発 117. 継続的専門家啓発(CPD)は、急速に変化するIT分野において専門的コンピテン シーを維持するために必要である。加盟団体は、その標準やガイドラインを提供し、業 務やキャリアに適切なITコースを会計士が選択できるように促進しなければならない。 専門化 24 IEG11 本文 118. 資格取得後において、特定の職業会計士は、ITを専門分野として特化して選択する ことがあるであろう。専門分野は、それ自体はIT分野ではないが、ITの利用が重要 となる分野であり、例えば、資金と財務、財務計画サービス、税務、破産と再建、そし て小規模ビジネスのアドバイザリーサービスなどがある。職業会計士を含むIT専門家 の業務の例としては、IT戦略、ITガバナンス、ITセキュリティーとコントロール などがある。その他の特定の産業における例としては、金融機関の情報システム、医療 業界の情報システム等の業務が挙げられる。 119. 専門家を認定する加盟団体は、IT専門家としての認定を検討するかもしれない。ま た、加盟団体は、専門化に適切なCPDのための標準とガイドラインを検討しなければ ならない。 120. 次のセクションでは、前述の会計士資格取得後の4つの役割の各々で要求される知識 とスキルレベルが述べられている。 ユーザーとしての役割 121. 会計士資格取得後の段階では、この役割における職業会計人は、その業務領域に最も 適した特有のITの利用に特化していくことになるだろう。この点で、職業会計士は、 その業務領域に最も適切なIT技術を理解し、適用することができなければならない。 例えば、すべての職業会計士は、専門研究やコミュニケーションにインターネットツー ルを利用できることが望ましく、管理会計の専門家は、利用されている典型的な業務系 システムとそれらの固有リスク及び効果的な内部統制制度について、十分に理解してい る必要がある。監査業務に従事する職業会計士は、主要なコンピュータに支援された監 査技術、及びそれらの長所や短所を十分に理解している必要がある。また少なくとも1 つの一般的なコンピュータに支援された監査パッケージ、調書作成パッケージ、オン・ ライン又はローカルのデータ・ベース・システム、あるいは、専門的調査ツール、時間 管理技術を用いた時間管理及び請求システムなどを使用することができなければならな い。税理士業務に従事する職業会計士は、一般的な個人及び法人向けの課税所得計算パ ッケージ、電子ファイル・システム、納税計画用ソフトウェア及び税務関連データベー スについての十分な理解と、それらの長所と短所を理解していなければならない。また、 少なくとも所得税と法人税の課税所得計算パッケージが利用でき、電子ファイル・シス テム、納税計画用ソフトウェア及び税務関連データベースについても実務的な訓練を行 っておく必要がある。 25 IEG11 本文 管理者としての役割 122. 会計士資格取得後の段階において、情報システム管理者としての職業会計人は、その 職務領域で利用される特有の情報技術に関係することになる。しかしながら、情報シス テムの管理者として従事するすべての会計士に共通する一般的な知識とスキルの必要条 件がある。 123. 本ガイドラインの付録4では、この役割に関連する事項を扱っている。 124. 要求されるコンピテンスレベルは、商慣習や適用される法令、基準、ガイドラインに 応じて情報システムを専門的に管理する能力である。 125. 会計士資格取得後の段階で、情報システムの設計に関わる職業会計士は、様々な特定 のITに関与することになる。しかしながら、適切な専門家としての水準を満たすよう に、業務系システムの設計者として従事するすべての会計士に共通する一般的な知識と スキルの必要条件がある。 126. 本ガイドラインの付録5では、この役割に関連する事項を扱っている。 127. 要求されるコンピテンスレベルは、適切な業務系システムの購入又は開発アプローチ の適用、又はそのようなことに対する業務上の助言を行う能力である。 評価者としての役割 128. 会計士資格取得後の段階において、ITを評価する職業会計士は、その職務領域で行 われた特定の評価業務に関わることになる。しかしながら、情報システムの評価者とし て従事する会計士に共通する一般的なコンピテンシー必要条件がある。 129. 本ガイドラインの付録6では、この役割に関連する事項を扱っている。 130. 要求されるコンピテンスレベルは、特定の評価目標を管理する専門的基準を満たすよ うに、IT環境において計画し、実行し、そしてシステム評価アプローチ結果の報告を 行う能力である。 26 IEG11 本文 付録−役割ごとの職業会計士のために必要なIT知識とコンピテンシーの範囲 一般的IT知識要件・・・・・・・・・・・・・・・・・・・・・・・・・・ 1 ITコントロールの知識要件・・・・・・・・・・・・・・・・・・・・・・ 2a ITコントロールのコンピテンシー・・・・・・・・・・・・・・・・・・・ 2b ユーザーとしてのコンピテンシー・・・・・・・・・・・・・・・・・・・・ 3 管理者としてのコンピテンシー・・・・・・・・・・・・・・・・・・・・・ 4 設計者としてのコンピテンシー・・・・・・・・・・・・・・・・・・・・・ 5 評価者/職業会計士としてのコンピテンシー・・・・・・・・・・・・・・・ 6 IT戦略アドバイザー/コンサンルタントとしてのコンピテンシー・・・・・ 7 本付録は、本ガイドラインとともに読むべきものである。 本付録は、役割によって組織 化された職業会計士のITカリキュラム及び訓練でカバーされるべき能力の範囲を定義し ている。 一般的ITとITコントロールの知識要件として、会計士資格取得前に、すべての職業 会計士が少なくとも一般的レベルの知識として保持しなければならない範囲を、本付録で 明示している。 より明確にするために、本付録では、重要項目を3つのコラムに区分し、 内容を「全般知識/技術範囲」、 「大項目 範囲」と「小項目 例示」として表示している。 職業会計士は、一般的レベルの知識として、業務系システムにおいて「大項目 範囲」 に記載された項目の意味と重要性を理解する必要がある。 「小項目 例示」に記載された 項目は、それぞれの項目における適用範囲を明確にしている。しかし、記載されたすべて の小項目についての詳細な知識が、一般的なIT教育要件として要求されるわけではない。 以上の他に、本ガイドラインでは、会計士資格取得前に、ITのユーザーとして、そし て少なくとも資格取得後に予定されている設計者、管理者又は評価者としての役割(又は、 加盟団体によって定義されたその他の役割)の1つについて、すべての職業会計士がIT コントロールコンピテンシーとそれらの役割に関連した他の能力を会得することを要求し ている。本付録は、それらの役割が取り扱う特定の内容を含んでいる。 そこで必要とされ るコンピテンシーレベルは、記載項目の一般的知識と理解を超え、クライアント又はIT を充分理解しない雇用者に対して、実務的な対応が可能なレベルを想定している。 このレ ベルのコンピテンシーを有する職業会計士は、関連のコンピテンシーに必要な知識を身に 付けているものと仮定しているため、ITコントロール領域を除いた他の範囲については、 知識要件について記載していない。 27 IEG11 Appendix付録1 付録1 一般的IT知識要件 ITアーキテクチャー 全般知識 / 大項目 範囲 技術範囲 一般的シス システムの性質とタイプ テム概念 小項目 例示 一般的なシステム概念、システム目的 ・開かれた / 閉じられた システム ・適切な / 不適切な 構造化 ・公式の / 非公式の ・日常処理的な / 戦術的な / 戦略的な 取引処理とオペレーションと意思決定支援 ITアーキテクチャ(構成要素と関係) サブシステム、ネットワーク、分配システム、移動体、ハードウエア(メインフレーム、サーバ、 ルータ、ワークステーションなど) ネットワーク、電気通信システム、電子データ転送 ソフトウェア:システムソフトウェア、アプリケーションソフトウェア、ユーティリティー ・アプリケーション開発環境 データ構造とアクセス方法 ・ファイル、テーブル、データベース、データベース管理システム プロトコル、標準、効果的技術 IT組織でのIT専門家とキャリアパス システムのコントロールとフィード 目的、基準、モニタリング、フィードバックとフォローアップ バック システム開発のライフサイクル システムの購入 / 開発段階、作業 調査と実行可能性の検討 プロジェクトマネージメント 要件分析と基本設計 詳細設計と仕様書 / 文書化 システムのインストールと実装 メンテナンス 情報の性質とタイプ 定常的な、例外、特別な、予測の 量的な、質的な 取引書類、スクリーン、報告、メッセージなど データ vs. 情報 vs. 知識 品質、関連、信頼性、コスト、完全性、正確性、集合のレベル、適時性、通貨、頻度、接続可 情報の特質 能性、可用性、承認、信頼性、プライバシー、機密性など 意思決定価値、競争上の優位性 ビジネスでの情報の役割 ユーザー:内部の、外部の モニタリング、問題発見、行動、決定サポートなど 意思決定理論 人間の情報処理の強みと限界 情報のコミュニケーション 報告概念とシステム ビジネスシステムのタイプ 取引処理システム( TPS ) 生産支援システム 経営情報システム( MIS ) 知識マネージメントシステム( KMS ) 経営者情報システム( EIS ) 意思決定支援システム( DSS ) エキスパートシステム( ES )、ニューラルネットワーク( NN ) ビ ジ ネ ス シ 取引プロセスのフェーズ データ・エントリー ステムにお エディットと承認 ける取引プ 伝送 ロセス ファイルの検索、計算、論理比較 マスターファイル更新 格納、レコードの保持、バックアップ 報告、経理、管理、マネージメント IEG11 Appendix付録1 全般知識 / 大項目 範囲 技術範囲 システムの 設備 物理的及び ハードウェ ア構成要素 演算処理装置 小項目 例示 配送計画と手配 人材と給与 サービスのデリバリー 配送 財務 / アドミニストレーション データセンタ、アウトソースされた設備システム、 記憶装置、メディア・ライブラリー、バックアップ保管室、 物理的なセキュリティ、論理的なセキュリティ無停電装置(UPS)、 災害復旧サイト マイクロ / ワークステーション / ミニ / メインフレーム / スーパーコンピュータ スタンドアロン / マルチユーザー / ネットワーク マルチプロセッサ vs. シングルプロセッサ サーバ、サーバファーム 中央処理装置(CPU)、主記憶装置他 バスライン、ケーブル、集積回路カード、マイクロコード、レジスター、命令セットその他 入力 / 出力装置 キーボード、マウス、スキャナー、テキスト認識、音声認識、スマートカード、ペン、表示、テー プ、ディスク、プリンタ、その他 制御装置、バッファ、チャンネル、その他 データ通信機器 モデム、スイッチ、ルータ、コンセントレータ、ブリッジ、モニター、その他 無線交換機、受信機、その他 物理的記憶装置 コンピュータによるデータの再配置、データ圧縮 テープ、ディスク、CD−ROM、DVD、COM ネットワーク ネットワークの機器、構成とデザイ ローカル・エリア・ネットワーク(LAN) / ワイド・エリア・ネットワーク(WAN) 無線 / モバイルシステム と電子デー ン 分散処理ネットワーク タ転送 データ伝送オプション、公的又は私的通信サービス、その他 データ通信と転送機器 / ソフトウェア ソフトウェア ソフトウェア形態のコンポーネント システムとアプリケーションソフトウェアの区別 ワークフローマネージャ、ミドルウェアと他のユーティリティ 様々な処理のためのソフトウェア設計 オープンシステム vs. 商用システム オペレーティングシステム グラフィカルユーザーインタフェース(GUI) ネットワーク、クライアント / サーバ、その他 シングルユーザー vs. マルチユーザー プロセス管理 メモリとファイル・システム管理 通信システム 端末のモニター、ネットワーク・ディレクトリ、その他 通信プロトコル 承認及びアクセスコントロールソフトウェア アンチウィルスソフトウェア ファイアウォール 侵入探索 セキュリティ / 評価ツール セキュリティ・ソフトウェア ユーティリティ・ソフトウェア プログラミング言語 / コンパイラ テキスト・エディタ、ディレクトリ・マネージャ、ファイルのバックアップ / リカバリー ファイル圧縮、その他 パフォーマンス・モニタリング・ソフトウェア、スケジューリング・ソフトウェア、その他 プログラム制御構造 プログラム仕様、証明と有効性 機械語 / アセンブラ 手続 vs. 非手続言語 言語評価と選択アプローチ オブジェクト指向言語、マルチメディア・オーサリング・システム、その他 プログラミングエイド(対話型プログ アプリケーション開発環境 ラミング・ソフトウェア) ケース・ツールとプログラミング環境 UML(統合モデリング言語) プログラム設計と開発の方法論 テストとドキュメンテーション ライブラリ管理システム バージョン管理、移植、その他 データ管理システム テープ / ディスク管理システム ハードコピー / マイクロフィッシュ / 光学的画像形成 オンライン、アーカイブ レポート・ジェネレータとデータ検索ソフトウェア データベース管理システム 一 般 的 な ア プ リ ケ ー シ ョ ン ・ ソ フ ト システム・ソフトウェアからの区別 ウェア 競争上の優位性 断片的 vs. 全組織的開発 / 統合 パッケージ vs. 注文生産ソフトウェア 分散処理 vs. 集中処理 エンドユーザーコンピューティング インターネット / イントラネット / エクストラネット・アプリケーション IEG11 Appendix付録1 全般知識 / 大項目 範囲 小項目 例示 技術範囲 E−ビジネスを可能にしているソフト サプライチェーンマネジメント(SCM) ウェア 顧客リレーションシップマネージメント(CRM) セールスフォースオートメーション(SFA) 人的資源管理 資産管理 エンタープライズリソ−スプランニング(ERP) 生産(CAD / CAM、CIM)、配送、物流 エンタープライズアプリケーションインテグレーション ・電子商取引システム ・パンフレット、カタログ、交換 ・オーダーエンントリ(買い物カゴ)、支払手続、完了 ナレッジ・マネジメントシステム ・知識創造、獲得、共有、メンテナンス プロの使用のためのソフトウェア プロトコル、 共通基準 基準、可能 にする技術 インターネットプロトコル 基準設定機構 データ構成 データ構造とファイル編成 とアクセス 方式 アクセス方法 会計パッケージ プロフェッショナルな研究用ツール プレゼンテーション・ソフトウェア インターネットツール:電子メール、ウェブ・ブラウザ、FTP ワードプロセッサー スプレッドシート データベース管理システム 7層OSIリファレンスモデル ・物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、 ・プレゼンテーション層、アプリケーション層 CORBA (Common Object Request Broker Architecture) 電子データ交換(EDI) 無線アプリケーションプロトコル(WAP) パケット・スイッチング URL(Uniform Resource Locator) DNS(Domain Name System) FTP(File Transfer Protocol) HTTP(Hyper Text Transfer Protocol) HTML(Hyper Text Markup Language) XML(eXtensible Markup Language) XBRL(eXtensible Business Reporting Language) IRC(Internet Relay Chat) IEEE(Institute of Electrical and Electronic Engineers) ISO(International Organization for Standardization) OSI(Open Systems Interconnections) ANSI(American National Standards Institute) W3C(World Wide Web Consortium) PMI(Project Management Institute) SEI(Software Engineering Institute) データ・コーディング:キャラクタ、レコード、ファイル、マルチメディア データの精度 データの関連:一対一、一対多、多対多 概念的なデータモデリング データの標準化 論理的 vs. 物理的 組織関連図 参照保全 テーブル構造 vs. ユーザーインターフェイス シーケンシャルアクセス ダイレクト(ランダム)アクセス 順次インデックス付シーケンシャルアクセス データファイルの形式 マスター / 取引 / テーブル 配列、リスト、スタック、待ち行列、ツリー、インデックス データベース:リレーショナル、ネットワーク 階層的、オブジェクト指向 データベース利用の便益 データベースマネージメントシステム データ貯蔵、アクセスと共有 (特徴、機能、アーキテクチャ) ロールバック / ジャーナリング パフォーマンス調整と測定法 保存手続 データベース管理 定義 / データベース要件の記述 ファイルレイアウト / スキーマ / データ辞書 モデルデータベース、配信システム 文書管理 取り込み、インデックス、保管、検索、ディスプレイ / 印刷 コンピュータアウトプットマイクロフィルム( COM )、マイクロフィッシュ、光学式画像処理システム IEG11 Appendix付録1 全般知識 / 大項目 範囲 技術範囲 IT組織にお 職務機能 けるIT専門 家とキャリ アパス 小項目 例示 最高情報責任者(CIO) ビジネスアナリスト システムアナリスト プログラマー オペレーションマネージャーとスタッフ データベースアドミニストレーター / データアドミニストレーター セキュリティー・オフィサ ネットワークコントローラ ライブラリアン Webマスター担当者、 Webデザイナ 品質保証 IT人材資源の採用と開発 訓練と開発 ソーシング キャリアパス 組織 組織構造 IT部門の関連 ITガバナンス システム取得 / 開発 全般知識 / 大項目 範囲 技術範囲 システム取 アプローチ 得 / 開発ラ イフサイク 購入 / 開発フェーズ ルフェー ズ、タスク 標準、手法、コントロール 調査と実現 調査 可能性の検 討 実現可能性の検討 要求分析と ユーザー要件の導出 初期設計 小項目 例示 ウォーターフォール、スパイラル、対話型、新しい開発技法と経営理論の正式なシステム開発 ライフサイクルへの影響 調査と実現可能性の検討 必要条件の分析と初期設計 詳細設計仕様 / 文書化 システム導入 / 実行 保守 必要条件の文書化 主要リスクとシステムプロジェクトの失敗理由 経済的、技術的、操作、運転 既存のシステムの分析;ビジネスプロセス統合;ビジネスプロセスの再構築 提案システムの範囲と情報需要、技術オプション 企業の現実と規模 コスト・ベネフィット分析 アプリケーションの必要条件の説明文 可能性の分析 処理 ユーザーインターフェース:スクリーン、レポート、配置 データベース / ファイル / 記録 既存のアプリケーションとシステムの統合 容量、測定可能性、拡張性の要求 システム分析 / 設計ツールと技術 構造分析と設計手法 質問、インタビュー、文書と分析、観察 データフローダイアグラム;エンティティ・リレーションシップ・モデル他 ディシジョン・テーブルとディシジョン・ツリー コンピュータ支援ソフトウェア技術ツール(CASE) 統合モデリング言語(UML) オブジェクト手法 プロセス設計、データ構成、ソフト ソフトウェア構造 ウェア要求 技術的構造 基礎構造要求;施設、ハードウェア、ネットワーク コントロール要求 有効性、セキュリティ / プライバシー、完全性、保守性 システム設 インフラストラクチャーとソフトウェ ハードウェアの選択、設備、ネットワーク 計、選択、 ア・サービス ソフトウェア・パッケージの選択 購買 / 開 ベンダー / サプライヤー / サービスプロバイダーの選択 発 サービス・レベル・アグリーメント 契約 / リース / ライセンス 考察 開発されたソフトウェア アプリケーション開発環境(プログラミング言語 / コンパイラなど) プログラミング支援:構造、イベントドリブン、オブジェクト指向アプローチ システム設計 ユーザーインタフェース: 選別とレポートの設計 データベース / ファイル設計;システムとデータベースの統合 監査証跡;取引フロー インターフェース システムとネットワーク取引の負荷 コンピュータ管理されたユーザーコントロール テストアプローチの受入 ドキュメンテーション 技術要件の明細書 ユーザー・運用マニュアル IEG11 Appendix付録1 全般知識 / 大項目 範囲 技術範囲 システムの システム導入計画 導入 システムの導入 / 配備 受入試験 小項目 例示 経営改革 要求事項 ユーザートレーニング ユーザー受入 システムの披露 データ変換 リスクマネージメント 操作と回復手順 文書化 システム構成要素の導入、配備 ユーザーや運用者のコントロール手続 人員の採用と訓練 受入テスト手法 ・資源の必要条件の特定 ・高水準のテストシナリオの開発 ・機能と技術的・構造に関連する必要条件 ツールと支援 ・自動化試験ツール ・テスト環境 ・支援 テストの筋書きと関連データ 品質保証 / 導入前レビュー システム変換 / 移行 データ変換の必要条件 自動化 / 手動 運営上の考慮(パイロット、並行運用と運用開始) タイミングの考慮 テスト リスクマネージメント 資源の要求事項 ・データ変換ツール ・変換環境 ・支援 データが完全で、正確かつ承認されていることを確保するテスト 導入後の評価 ビジネスの必要条件の充足 ユーザー・経営者・スタッフへの影響力 プロジェクトのスケジュールと資源(財務・人員)の消費 便益の実現 導入の機会 保守基準 インフラ ソフトウェア 人員のコンピテンシー 情報の構造 ビジネスプロセス バージョン管理 導入のコントロール 承認のコントロール 文書標準とコントロール 移動計画 管理、変更承認 急な変更のコントロール テストと品質保証 プロジェクトの主催者と資金 ステークホルダー 関連する専門用語 プロジェクトマネージメントの適用の道具と技術 変更の管理 システム保 プロジェクトの開始 守とプログ ラム変更 プロジェクトの計画 領域、目的、達成結果 目的と結果達成のための戦略 プロジェクトのスケジュール、タスクの順序とマイルストーン 資源と予算 プロジェクトの評価に使える品質基準 プロジェクトの全てのステークホルダーの要求事項 プロジェクトを完成させるために必要となる製品やサービス プロジェクトに対するリスクマネジメ プロジェクトマネージメントのリスク ント ビジネスリスク プロジェクト計画の実行、保証 必要に応じ、製品とサービスは選択され、契約される 品質標準が理解される スタッフは適切に訓練され管理される 適切なコミュニケーションが規程される プロジェクトのコントロール プロジェクトを通じた変更のコントロールとコーディネート プロジェクト予算の管理 結果が品質標準に合致しているかを確認し、指摘された問題点を改正するための方法の特 定 必要に応じたプロジェクトの進行状況と変更スケジュールの報告 有効なリスクマネジメントの確実な実施 リスク軽減のためのモニター活動 新しいリスクの発見とそれに対応した計画の変更 問題の特定、エスカレーション、解決のプロセスの公表 IEG11 Appendix付録1 全般知識 / 大項目 範囲 技術範囲 プロジェクトの終了 小項目 例示 プロジェクト所有者とのコミュニケーションと検収 未実施項目 導入後のレビュー ITマネジメント 全般知識 / 大項目 範囲 技術範囲 IT組織 IT政策、手続、方法論 小項目 例示 IT組織を創造、改善するプロセス 記録書類を維持するプロセス 組織の戦略的計画との連携 以下の項目の詳細 ・インフラ、ソフトウェア、要員、手続、データ I T 人的資源政策 技能評価 キャリアパス 業績評価 業務マニュアル トレーニングと受講証明 採用と要員の保有 報酬プラン IT事業部門 人的資源マネジメントプロセスは、 資源調達 の有効性及 従来は組織の効率性を維持 進行中の支援手続 び効率性に アップデートとアップグレードの維持 関 す る マ ネ 業務とユーザー要件のインフラとの 優先手続の制定 ジネント 関係 コンポーネントの互換性 IT能力の計画 手続におけるITのインパクト データ / 情報アーキテクチャ ITインフラ(ハードウェア、設備、ネットワーク) ソフトウェア(システム、アプリケーション、ユーティリティ) サービスプロバイダー活動のモニタ 性能測定(生産性、サービスの品質) リング コラボレーティブ・コンピューティング 分散処理 EDIと電子商取引 外部委託サービス(ISP、ASPなど) 資産運用 資産ライフサイクル 購入 変更 撤去 資産運用とコントロール ITインベントリー 契約、ライセンス、知的所有権問題 データの所有権と信頼性とプライバシーの問題 国境を越えるデータ転送とデータ保管 サービスプロバイダーによる書面化 ユーザーのための書面化、継続トレーニングとエンドユーザーのサポート シ ス テ ム 変 変更管理技法 影響分析 更と問題解 認可 決のマネジ 内部統制 ネント テスト実施 / フィードバック 書面化 訓練を含む人的資源計画 承認 データ移行計画 システムリリースのマネジメント 問題に対するマネジメント チェンジコントロールマネジメントとの統合 ヘルプ / サービスデスクのサポートシステム 問題解決 / エスカレーション手続 問題解決のための方向性の指示とスタッフの割当て 問題発生の分析 エンドユーザーコンピューティングの テクノロジーの普及 マネジネント インフォメーションセンター、ヘルプデスク エンドユーザーシステムのためのセキュリティ エンドユーザーアプリケーションのためのサポート IT資源に対 性能の測定 する性能と 財務的コン トロールの モ ニ タ リ ン IT原価管理 グ 定義 モニター 測定と標準性能との比較 標準性能から乖離の報告 購入のための予算 消費時間と支出の記録 システム購入費用のための会計 特定及び測定可能な原価 原価計算処理の定義と実施 ユーザーに対する請求と配賦手続 支出 IEG11 Appendix付録1 全般知識 / 大項目 範囲 技術範囲 ITコントロール目標 小項目 例示 手続の有効性、効率性、経済性 財務報告書の信頼性 コントロールの有効性(設計、手続) IT資産の保護 関連する法令、規則への準拠性 システムの信頼性 ・可用性と継続性(バックアップ、リカバリー) ・アクセス制御(物理的、論理的) ・プライバシー、機密性 ・処理の統合性(完全性、正確性、適時性、承認)、データの統合性 IT戦略 全般知識 / 大項目 範囲 技術範囲 企業戦略と 内外のビジネス上の問題 ビジョン ITに影響を与える要素 小項目 例示 組織のビジネス上の焦点 組織が所属する産業における組織自体のポジション IT戦略と事業戦略の関連 ビジネスに影響する作業上のダイナミックス 戦略的計画に関連しているビジネスプロセス テクノロジーやビジネスの変化に対する柔軟性 市場のスピード 法令、規定と保険 ビジネス構成単位(顧客、市場、産業) 予算 サービスレベルと作業上の要請:可用性、スケーラビリティ、安全性、統合性、拡張性、維持 性、管理可能性 現在及び将 ビジネスプロセスをサポートしている インフラ 来のIT環境 ITの現在の利用状況 ソフトウェア の評価 要員 手続とコントロール データ ITリスクと機会 傾向、問題の現在の環境 ビジネスとITの連携 サービスレベル契約 / 目標への準拠性 能力と性能 統治者の姿勢 ITの戦略的 組織のシステムの将来についての 利害関係者とのコミュニケーション 計画 予測 資源戦略 不可欠な成功要因と適切な測定 将来の事業戦略とIT戦略のバラン ITマネジメントの目的と目標 ス 全体的な実施可能性と範囲 ビジネス上の制約条件(品質、時間、費用) 実施計画、スケジュール、変更要素 後援者と統治者の承認 IT ガ バ ナ ン ITガバナンスのためのフレームワー コントロール環境 / 組織文化 スと結果の ク リスク評価 モニタリン 方針と手続 グプロセス 情報とコミュニケーション コントロールとリスクのモニタリング 結果測定 ITプロセスの費用効率 ITインフラの利用 統治者の満足度 スタッフの生産性 知識と情報の共有 ITと企業の連携 利害関係者 サービスレベルアグリーメントの成 サービスの品質 とその要求 果のモニタリング 可用性 レスポンスタイム セキュリティとコントロール プロセスのインテグリティ プライバシー 復旧 サービスレベルアグリーメントの修正 企業体のビ ビジネスモデル 収益 ジネスモデ 配送 ル 供給 マーケット 組織 法令と規範 IEG11 Appendix付録1 全般知識 / 大項目 範囲 小項目 例示 技術範囲 企業体のビジネスプロセスの有効 収益 / 売掛金 / 回収 性 購入 / 買掛金 / 支払 たな卸資産 / 売上原価 固定資産 製造計画、スケジュール、コントロール 配送管理と物流 人的資源と給与 サービスの提供 物流 資金 / 事務管理 リスクと機会 障害と可能性 ITが企業体 のビジネス モデル、プ ロセス、対 策策定に与 える影響 テクノロジー ビスネスプロセスとITの戦略的アレンジ ビジネスプロセスリエンジニアリング 組織構成と文化 人的資源 資本 法務と規範 インターネット商取引のアプリケー インターネット商取引発生と傾向 ション 企業対企業取引(B2B) ・交換取引、ポータル、公的 / 私的交換 / EDI ・与信承認、ワイヤーライン(ACH、EFT) 企業対消費者取引(B2C) 消費者対消費者取引(C2C) 企業対従業員取引(B2E) 遠隔研修:区分研修 電子政府 エンタープライズシステム ITアーキテクチャにおいてe−ビジネスに利用可能なソフトウェア IEG11 Appendix付録2a 付録2a ITコントロールの知識要件 必要とされるITコントロール知識 全般知識 / 大項目 範囲 小項目 例示 技術範囲 コントロー コンピュータを基礎とした情報シス エラー、詐欺、破壊行為 / 乱用、ビジネスの中断、競争的な不利、コスト超過、不十分な収 ルの枠組 テムにおけるリスクと危険性 入、法令の制裁、社会的コストなど 組織、コントロールに対するIT監査の効果 ・経済的、技術的、操作上の行動の検討事項 ・費用 / 利益 ITコントロールの枠組み COBIT 、 ITCG 、 SysTrust 、 WebTrust 、 OECD 、 BS7799 など オペレーションの有効性、効率、経 コントロール処理のコスト効率 済性 財務報告の信頼性 関連性、信頼性、比較可能性 / 首尾一貫性 コントロールの有効性(設計・操作) 適時に、一定期間の間 IT資産の保護 施設管理とIT資産保護 適用される法律と規則の遵守 詐欺行為、エラーそして違法行為の防止 / 発見 プライバシー、守秘義務、著作権問題 システムの信頼性 可用性と継続性(バックアップ、回復) アクセスコントロール(物理的、論理的) 処理の信頼性(完全性、正確性、適時性、承認) データの完全性 完全性、正確性、 現在性 / 適時性、首尾一貫性 / 類似性、承認、 監査可能性 インプット / アウトプット;受信 / 配信 制御 態度、法律と規則 コントロー 社会的組織的な環境 委員会レベル、マネージメントレベル、 IT 管理者 / 操作者レベル ルの階層 技術インフラ ハードウェア、施設、ネットワーク ソフトウェア システム、アプリケーション ビジネスプロセス ユーザー部門、個人ユーザー コントロー キーとなる関係者の役割と責任 委員会、トップ経営者 ル責任 IT担当役員と ITスタッフ ユーザー部門、個人 監査人 コントロー 外部で規定されたコントロール 記録保持、プライバシー、著作権、課税など。 ル環境 取締役会 / 監査委員会の統治 規定の遵守性、信託の義務、 IT統治、システムの信頼性 経営哲学と運営形態 信頼性と倫理上の価値、コンピタンスへの公約 組織化の計画 / 構造 IT組織に対するリーダーシップ、 IT組織構成、互換性のないITとユーザーの役割の分離、他 の組織体とのパートナーシップ 権限と責任の割当ての伝達方法 ビジネス訓練、行動規制、システムのドキュメンテーション、運用、ユーザー責任、報告体制 経営管理の方法 戦略上の計画、ビジネスシステム / IT統合プランニング、予算編成、業績測定、政策遵守性 のモニタリング 人的資源政策と訓練 雇用、訓練、評価、 ITスタッフの報酬、キャリアパス 財務政策と実践 予算策定プロセス 費用の支払方法 システムの 調査と実現可能性調査 経営委員会 費用対効果分析 リスク評価 導入と開発 要求事項分析と概要設計 コントロール要求事項 プロセス 詳細設計の仕様 / 文書化 コントロール 実装 システム導入、実装 導入テスト 変換 / 切替 品質評価 実装後のレビュー コントロー ル目標 リスクアセ スメント システムの保守と変更 ハードウェアとソフトウェアの保守 変更の許可、記録、テストの実施 システムのドキュメンテーションと運用マニュアル 人事トレーニングと開発 プロジェクト管理 / 計画 / コント ロール方式と標準 プロジェクトのフェーズ、タスクとコントロール プロジェクトの特徴とリスク プロジェクトの人員確保 プロジェクトスケジューリング 費用予算 ドキュメンテーション要件 リスクカテゴリー 経済性、技術性、操作性、動作性 コンピュータプロジェクトの失敗の主な理由 エラー、不正、破壊行為 / 乱用、事業中断、競争的な不利、過剰費用、不十分な収入、法令 の制裁、社会的コストなど 損失の確率 量的な / 質的な 貨幣の、非通貨の コントロールの費用対緩和されないリスクに対する費用のバランス 目的、枠組み、環境、活動、モニタリング 法律上の、倫理上の、専門的な標準 / 要件 予防的 / 発見的 / 調整的戦略 コントロール環境(人員マネージメント方法)の効果 予防的業務処理統制 発見的業務処理統制 危機管理計画、保険 結果 コントロー ル活動 コントロールデザイン IEG11 Appendix付録2a 全般知識 / 大項目 範囲 技術範囲 コントロール手順 小項目 例示 許可 相容れない機能(組織設計、ユーザー身分証明、データ分類、ユーザー / 機能 / データ許 可マトリクス、ユーザー認証) の分離 適切なドキュメントと記録 資産保全措置;資産アクセス制限 会計記録の検証 会計記録と資産との比較 コンピュータに依存するコントロール(編集、検証など) ユーザーコントロール(バランスをとったコントロール、手動のフォローアップなど) 監査証跡 エラーの識別 / 調査 / 修正 / 観察 データの信頼性、プライバシー及び データ保護法律の理解 セキュリティ 人事問題と機密性の検討問題 情報の分類 アクセスマネジメントコントロール 物理的構成とアクセスコントロール 論理的アクセスコントロール(ユーザー許可マトリクス) ネットワークセキュリティ(暗号化、ファイアウォール) プログラムセキュリティ技術 データセキュリティ技術 モニタリングと監視技術 処理、危機管理計画及びコントロー 脅威とリスク管理 ルの可用性 / 継続性 ソフトウェアとデータ・バックアップ技術(オンラインシステムの問題など) 代替処理設備の協定 危機管理手続計画、ドキュメンテーション 事業継続計画との統合 回復手続の定期的なテスト 保険 ISの処理 / 運用 情報とコミュ 情報処理システム ニケーショ ン 権限 / 責任のコミュニケーション コントロー マネジメントユーザー、監査人(内 ル遵守のモ 部、外部)の役割 ニタリング コンピュータ支援監査技法 計画とスケジューリング; サービスレベル;リスク 標準化 ・ インフラ(ハードウェア、設備、ネットワーク) ・ ソフトウェア ・ 人的資源(技能の設定と要員のレベル) ・ ビジネスプロセス 業績のモニタリング ・ 費用 / 利益(経営、ジョブ及び事務手順への量的で質的な影響) ・ ITに影響を与えるビジネスの要因 (例えば、拡張性、技術またはビジネスの変化に対する 適正規模柔軟性、需要の促進、プラットフォーム互換性能) 生産性とサービス品質に関するコントロール ソフトウェア / データライブラリ管理 インプット / アウトプットの配布と管理 セキュリティとバックアップと復旧 人、手続、データ、ソフトウェア、情報化基盤 基本プロセス ・ 本人識別と全ての正当な記録 ・ 適切な / 適時な取引分類 ・ 適切な測定 / 評価 ・ 適切な時期 / 期間帰属 ・ 適切なプレゼンテーション 商習慣、行動規範、処理マニュアル、メモなど システム、運用、ユーザー責任のドキュメンテーション 報告関係 訓練、監督 内部のモニタリングプロセス パフォーマンスレビュープロセス 外部のモニタリングプロセス 遵守違反を扱うプロセス システム解析とドキュメンテーション(例えば、パッケージのフローチャート化、プログラム論理 のレビューなど) システム / プログラム・テスト(例えば、テストデータ法、統合テスト法、並行シミュレーション法 など) データの信頼性テスト(例えば、汎用監査プログラム、ユーティリティ、注文プログラム、サンプ リングルーチンなど) 問題解決支援(例えば、表計算、データベース、オンラインデータベースなど) 管理支援(例えば、ワープロ、監査プログラム作成支援、調書作成支援など) IEG11 Appendix付録2b 付録2b ITコントロールのコンピテンシー 領域 要素 コントロール評価のための適切な 内部統制の分析と評価に適用するために関連ITコントロールの枠組みの識別 基準の選択 内部制御の分析と評価に適用するために関連ITコントロール目標の識別 分析と評価に含まれる適切なコントロール階層の識別 識別されたコントロール目標に対する責任の領域の識別 コントロール環境の評価 外部の規定されたコントロールの理解 取締役会又は監査委員会への参加の有効性の分析と評価 経営哲学と運営スタイルの有効性の分析と評価 組織構造の有効性の分析と評価 権限と責任の割り当ての有効性の分析と評価 経営コントロール方法の有効性の分析と評価 人的資源方針と実施の有効性の分析と評価 財務方針と実施の有効性の分析と評価 システムの取得 / 開発プロセスと 製作 / 購買基準を含む、システムの取得 / 開発の方法論の有効性の分析と評価 コントロールの評価 システム開発プロジェクトマネジメントとコントロールのための標準の有効性の分析と評価 システム調査とフィージビリティー・スタディーの標準の遵守の分析と評価 ユーザー要件と当初のシステム設計の決定に関する標準の遵守の分析と評価 システム設計、選択、購入 / 開発に関する標準の遵守の分析と評価 システムテスト、訓練、データ変換及び品質保証を含むシステムの導入に関する標準の遵守の分析と評価 システムの維持管理と変更管理に関する標準の遵守の分析と評価 リスク評価プロセスと活動の評価 企業のリスク開示を識別するプロセスの分析と評価 損失発生の可能性を見積るプロセスの分析と評価 貨幣で表現されるもの貨幣では表現されないものの両方の結果を評価するプロセスの分析と評価 リスクに対処するためのコスト効率のよい、予防、発見、回復の方策を開発するプロセスの分析と評価 情報処理プロセス運用とコント 設計の有効性、並びに企業の組織的な目的を支援する情報処理およびコミュニケーション活動の運用の分 ロールの評価 析と評価 データ・インテグリティ(保全)、プライバシー及びセキュリティに対するコントロールの有効性の分析と評価 システム処理の完全性、正確性、適時性及び承認に対するコントロールの有効性の分析と評価 システムの可用性、ビジネス処理の連続性及び災害回復計画に対するコントロールの有効性の分析と評価 モニタリングプロセスと活動の評価 コントロール又はコントロール環境の変化における、それらの有効性を含む内部モニタリング・プロセスの分 析と評価 パフォーマンス・レビュー・プロセス(能力評価)の分析と評価 管理のモニタリング活動 管理者、ユーザ、内部監査人、外部監査人のモニタリング活動によって識別されたコンプライアンスへの不準 拠又は悪化を確認するプロセスの分析と評価 モニタリング・プロセス及び活動を分析し評価するための適切なコンピュータ利用監査支援技法(CAAT)の適 用 IEG11 Appendix付録3−7 付録3 ユーザーとしてのコンピテンシー 領域 要素 ビジネス / 会計上の問題に、適切な オペレーティング・システム(ウインドウズ、他のもの)の適用 ITシステム / ツールを適用する。 適切な会計 / ビジネス状況に即応した、ワープロ・ソフトの適用 脚注1 参照 適切な会計 / ビジネス状況に即応した、表計算ソフトの適用 適切な会計 / ビジネス状況に即応した、データベース・ソフトの適用 適切な会計 / ビジネス状況に即応した、インターネット・ツール(電子メール、webブラウザ、FTP、その他) の適用 適切な会計 / ビジネス状況に即応した、専門的な検索ツールの適用 適切な会計 / ビジネス状況に即応した、ビジネスプレゼンテーションソフトの適用 適切な会計 / ビジネス状況に即応した、ウイルス対策ソフトとその他のセキュリティソフトの適用 適切な会計 / ビジネス状況に即応した、ユーティリティソフト、その他の適切なソフトウェアの適用 ビジネスと会計システムの理解につ 会計パッケージの理解についての説明 いて説明する。 e-ビジネス(ERP、CRM、その他ビジネス自動化システム)の理解についての説明 ネットワーク(LAN)の理解についての説明 電子商取引の特徴(B2CとB2Bのモデル、暗号化ツール、デジタル署名 / 証明、鍵管理)の理解について の説明 個人のシステムにコントロールを適 IT資源の処理のインテグリティの保証 用する。 IT資源のセキュリティと保護することの保証 IT資源に対する可用性 / 継続性の準備(バックアップと回復)の保証 脚注1:適切な会計 / ビジネス状況には、次のようなタスクを含んでいる。 ・ 集計、階層化、要約し、データを解釈する。 ・ 代替的行動方向を評価し、選択する。 ・ 観察と議論を文書化する。 ・ 戦略と戦術を工夫する。 ・ 成果を評価する。 ・ 活動を計画し、予定し、モニターする。 ・ 資源を直接配分する。 ・ 他の人と意思疎通する。 付録4 管理者としてのコンピテンシー 領域 企業のIT戦略管理 IT組織の管理 IT戦術の有効性と効率性管理 ITにおける財務管理 ITコントロール管理 システム購入、開発、インプリメン テーション管理 要素 企業戦略及びビジネス問題、関連するITリスク / 機会の理解 企業の事業計画を支援するためのIT戦略策定 企業のシステム化対象領域と成功要因に合わせたIT戦略計画の列挙 / 統合 IT計画のための戦略的システム化領域の戦術方針への変換 IT利用によるビジネスプロセスエネイブルメント(enablement)の促進 IT部門のジョブ機能及び責任の定義 IT部門の組織図及び報告関係の記述と定義 人員補充と配置、人材開発、考課の定義と制度化 システム構成要素の整合性及び互換性を測定し、分析及び評価 IT受容力の分析、評価及び計画 管理、ジョブ及びオフィス業務におけるIT影響度の分析並びに評価 データ / 情報アーキテクチャの定義 / 維持 IT基盤(ハードウェア、設備、ネットワーク)の補足、開発及び維持 ソフトウェア(システム、アプリケーション、ユーティリティ)の補足、開発及び維持 システム運用優先順位と資源配分の計画とスケジューリング IS効果と生産性への寄与の測定及び分析、評価 IT機能パフォーマンス、生産性、サービス品質、品質保証プロセス、継続的な改善の測定、分析、評価 (ISP、ASPなどの)外注サービスとEDIや電子取引サービスのような内製化分野の監視 投資予算の作成 システム費用の積算 コスト管理システムの導入 監視費用 ハードウェア、設備、ソフトウェア及び情報のための物理的かつ論理的な歯止めの導入 システム、データ・セキュリティの確保(つまり、物理的、論理的な / 電子アクセス・コントロール) システム有効性及びビジネス継続性コントロール(バックアップ / 回復,災害立案)の管理 システムのインテグリティ(つまり完全、正確さ、適時性及び認可)の管理 データインテグリティ、プライバシー及び機密性の管理 自社開発あるいは外注等、適当な開発 / 購入の選択肢の策定と評価 システム取得 / 開発、インプリメンテーション基準の管理 システム・プロジェクトの要員配置、必要条件と予算の管理 システム・プロジェクトを管理・監視する管理プロセスの構築 適切なサプライヤー及びシステムを選別、分析し評価する適切な方法論の利用 IEG11 Appendix付録3−7 領域 システム変更とソリューション管理 要素 ユーザ、トップマネジメント / 経営層に対するシステム購入 / 開発計画及びステータを報告するシステムの 管理 技術拡散管理 インフォメーション・センター(ヘルプデスク)の導入と管理 IS保守業務に適用しうる基準とコントロールの策定と監視 バージョン管理 システムの保護と変更認可管理 旧システムから新システムへの移行プロセスの策定と監視 緊急の変更コントロールの策定と監視 あらゆる変更に対するテストと品質保証の策定と監視 付録5 設計者としてのコンピテンシー 領域 要素 企業のビジネス・プロセス及び組織 IT企業戦略ビジョン開発の促進 における情報の役割の分析及び評 ステークホルダー及びその要求事項の識別 価 企業、その顧客、サプライヤー及び従業員におけるIT企業戦略ビジョンのビジネス・インパクトの評価 ユーザと科学技術者及び管理の間の促進コミュニケーション 情報アーキテクチャー(つまりナレッジ・マネジメント・システム、データ・ウェアハウスを含むデータ・ベース及 びデータ・ベース管理システムの役割)を分析、評価、設計 企業ビジネス・プロセスの分析、評価、設計 企業システム開発ライフ・サイクル(SDLC)フェーズ、タスクの分析、評価、設計 システム・リスク、機会の分析と評価 コントロールの分析、評価、設計 プロジェクトの特徴とリスクの分析、評価 システム開発ライフサイクルに関連した適切な段階へ対応するフェーズと作業へのプロジェクトの分割 適切なスタッフと他資源の識別と、フェーズと作業への割当 時間、費用、他の資源予算のフェーズと作業への割当 フェーズと作業への適当な基準とコントールの適用 プロジェクト文書の要求事項の定義、準備責任の割当 プロジェクトの予算、基準、管理と要求事項文書への準拠性の監視、必要な場合の修正 システム調査、プロジェクト開始方法 システム調査の実行 の適用 ビジネス・プロセス統合 / リエンジニアリング機会の識別 関連する技術の選択肢調査 実行可能性調査の準備、プロジェクト・リスク評価 ユーザー要件と初期設計方法の適 情報要求事項誘導手法の適用 用 (コントロールを含む)情報の要件の文書化 チームメンバー、ユーザー、経営者の間での情報要件に関するコミュニケーションの促進 要件分析、(コントロールを含む)書記設計の実行 詳細設計(購入 / 開発方法)の適用 詳細な設計仕様書の準備と文書化 インフラストラクチュアの評価と取得 要求されたシステム、アプリケーション、ユーティリティソフトの評価し取得、開発 サプライヤーとサービス・プロバイダーの選択 ハードウェア契約、及び設備リース、ソフトウェア・ライセンス(法的なアドバイザーとのコンサルテーション中 のネットワーク・サービス・レベル協定)の準備 ドキュメンテーションとオペレーションにマニュアルの準備 システム導入方法の適用 導入計画の準備 システム・コンポーネントの設置 / 配備の監督 ユーザー / オペレーター手順の開発、人員の採用・訓練 仕様書に対してのシステムテスト(照合、確認) システムの変更、前後データ整合と起動 導入後レビューの実行 システム保守及び変更管理方法の IT基盤の保守 適用 ソフトウェアの保守;バージョンコントロール 全てのシステム変更テスト 訓練や雇用による個人コンピテンシーの保守 IT基準及びコントロールの保守 情報アーキテクチャの保守 ビジネスプロセスの保守 付録6 評価者 / 職業会計士としてのコンピテンシー 領域 システム評価計画 要素 IT保証サービス必要条件又は機会の定義 IEG11 Appendix付録3−7 領域 システム評価 評価報告の伝達と対応 要素 法的、倫理的、専門家の基準やそれ以外の要求事項とベストプラクティスに基づく事業体のIT保証の必要 性の分析、評価、助言 特定のIT保証契約の性質又はプロジェクトと基準と契約にかかわる他の必要事項の定義 IT保証契約やプロジェクトの分析、評価、受容の決定 IT保証契約やプロジェクト範囲の定義 IT保証契約やプロジェクトやその関係に影響するリスク要因とビジネスの問題点の識別、分析、評価 システムエラーのレベルと頻度、重要な欠陥と資料の定義 専門家の標準に対応した評価目的に合うコンピュータ利用監査支援技術(CAATs)を含む有効かつ効率的な 立証手続の設計 IT保証契約やプロジェクトを実行するための、IT専門家人員を含む適切なITスキルの割当と計画 IT専門家人員を含む、社員、クライアント等の協力 CAATsを含む実行管理するための練習と計画された手順の実行 環境の変化に対する計画手続の調整 手順と発見事項の文書化 手続の監査調書 / 結果の分析と評価 監督、調査及び品質保証手続の実行 口頭のコミュニケーション、「シール(seal)」や印刷された報告書等の適切なコミュニケーションの様式の用意 口頭あるいは電子的な又はクライアントや他の受取人が指定されてるコミュニケーションの呈示 要求に見合う頻度のコミュニケーションの更新(例えば、「シール(seal)」やウェブサイト報告書の更新) 要求に応じた対応 付録7 IT戦略アドバイザー(IT Strategy Adviser) / コンサルタント(Consultant )としてのコンピテンシー 領域 ビジネスIT戦略計画 情報システム管理 企業情報技術アーキテクチャ システム信頼性 ビジネスプロセス・エネイブルメント システム開発、獲得、インプリメン テーション及びプロジェクト管理 要素 企業あるいは経営戦略及びビジョンの理解 現在のIT環境の評価 将来のIT環境構想の描写 IT戦略計画の評価 進行中のガバナンスとモニター結果の確立 IT構成の評価 ITオペレーション、有効性及び効率の評価 資産管理の評価 変更コントロールと問題管理の評価 IT資源の実効性と財務管理の監視 企業情報アーキテクチャの記述 現在許容量の理解 企業慣習の記述 プロトコル、標準、認証技術及びアプリケーション開発環境の理解 データベース構造の理解 確実なシステム原則の理解 システム評価基準の理解 システム信頼性を支えるコントロールの理解 プライバシー問題の理解 「シール(seal)」と保証プログラムの理解 ステークホルダーの特定と要求事項の理解 企業ビジネスの理解 ビジネス・プロセスにおけるリスクと機会の評価 企業ビジネスモデルとプロセスにおけるITインパクトの理解 ビジネス機会を識別する技術の定義と評価 商用利用可能なソルーションあるいはサービス・プロバイダーのシステム獲得プロセスの評価 システム開発ライフ・サイクル(SDLC)方法論及び関連するツール並びに技術の評価 システム・インプリメンテーション・プロセス及び技術の評価 プロジェクト管理プロセスの評価