« January 11, 2007 | Main | January 30, 2007 »

2007.01.20

NO.191 「IT統制」の指針


監査役A:昨年の11月21日付けで金融庁から「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」についてのパブコメの結果が遅れているようですね。

監査役B:18日に公認会計士協会が出した意見が公表されました。
 http://db.jicpa.or.jp/visitor/show_kokai.php?id=990
この他に社団法人日本監査役協会も出していましたし、調整に手間取っているのでしょう。

監査役A:また、経済産業省が昨日(1月19日)「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の草案を公開しています。
これは、システム部門向けに日本版SOX法(J-SOX)への対応に必要なIT統制の具体例を記述した文書とのことですね。
 経産省は作成した目的を「システム管理基準等を活用している企業が、財務報告にかかる内部統制に必要な『ITへの対応』を行うために、システム管理基準等と『ITへの対応』との具体的な対応関係を明確すること」と説明していて、これも2月19日までパブリック・コメントを受け付けるようです。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJCD=&GROUP=

監査役B:どの様な構成になっているのですか?

監査役A:追補版は、(1)本追補版の構成と用語について、(2)IT統制の概要について、(3)IT統制の経営者評価、(4)IT統制の導入ガイダンス(IT統制の例示)、という4章で構成されており、参考文献や付録を合わせると約150ページですね。

監査役B:金融庁の日本版SOX法もこのように他の省庁からも対応の実務指針が出ると言うことは、本格的な稼働に向かっていると言えますね。

監査役A:そうですね。この内容もかなり具体的ですね。
(1)では、実施基準案で利用されている用語の考え方。(2)では、「財務報告とIT統制の関係」など、日本版SOX法の考え方の解説。(3)では、経営者がIT統制を評価する際の手順や観点の説明。(4)では、ITにかかる全社的な統制、IT全般統制、IT業務処理統制について、「リスクの例」「統制の例」「統制手続きの評価例」を挙げながら詳細に解説していますからね。 その他にIT統制に特化したものですが、RCM(リスク・コントロール・マトリックス)の例も紹介している。

監査役B:私はITに弱いので、システム本部長に連絡しておきます。ありがとうございました。

監査役A:目次とまえがきを載せておきますので、ご参考まで■
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
目  次
まえがき
本追補版の構成と用語についてP1 I 章
1. 構成
2. 用語
IT 統制の概要についてP1 Ⅱ章
1. 財務報告とIT 統制
(1) 金融商品取引法に求められている内部統制とIT の関係
(2) 財務報告とIT 統制の関係
2. IT 統制の統制項目
(1) IT 全社的統制
(2) IT 全般統制
(3) IT 業務処理統制
IT 統制の経営者評価P1 Ⅲ章
1. IT 統制の評価のロードマップ
2. 評価の決定と対象となるIT の把握
3. IT 全社的統制の評価
4. 業務プロセスに係るIT 統制の評価
5. IT 統制の有効性の判断
IT 統制の導入ガイダンス(IT 統制の例示) P1 Ⅳ章
目次
1. ガイダンスの使い方
2. IT 全社的統制
3. IT 全般統制
4. 業務処理統制
5. モニタリング

参考文献
付録1.システム管理基準追補版と他の基準との対応
付録2.システム管理基準の統制目標の使い方
システム管理基準の管理項目と統制目標の対応(例)
付録3.ITコントロールとITの具体的な技術の例示
付録4.評価手続等の記録及び保存
付録5.サンプリング
付録6.リスクコントロールマトリクスの例
IT 全般統制評価記述書
IT 全社的統制評価記述書
IT 業務処理統制評価記述書

まえがき
情報技術(以下、IT という)の急速な普及に伴い、我が国企業においては、販売、物流、調達といった業務から、財務・人事・給与等の基幹業務に至るまで、数多くの業務においてIT への依存度が増大している。
平成18 年6 月に成立した「金融商品取引法」により、経営者は、財務報告に係る内部統制の整備及び運用について適正に評価、報告することが義務付けられたが、上記のようなIT への依存度増大を背景として、金融庁企業会計審議会内部統制部会が策定中の「財務報告に係る内部統制の評価及び監査の基準案」及び「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」においても、内部統制の枠組みの基本的要素の1つとして「IT への対応」が掲げられている。
我が国においては、昭和60 年に、情報システムの適正な管理を目的とした「システム監査基準」が策定され、我が国企業で広く活用されてきた。
当該基準は、近年の技術進歩や情報セキュリティ対策の重要性の増大等を踏まえ、新たに「システム管理基準」及び「情報セキュリティ管理基準」(以下、システム管理基準等という)として改訂されており、現在、我が国企業においては、このシステム管理基準等が活用されているところである。
このような状況を踏まえれば、財務報告に係る内部統制の整備運用に際して、システム管理基準等に基づいて構築されている情報システムを活用し、財務報告に係る内部統制で求められている「IT への対応」を行う必要に迫られている企業は多数存在していると考えられる。
しかしながら、システム管理基準等では、財務報告に係る内部統制におけるIT 統制の構築や評価について詳細までは規定していないことから、システム管理基準等を活用している企業が、財務報告に係る内部統制で求められている「IT への対応」を行っていくためには、システム管理基準等と「IT への対応」との間の具体的な対応関係を明らかにしていくことが不可欠である。
本追補版は、我が国企業が置かれているこのような現状を踏まえ、財務報告に係る内部統制を念頭に、主要なケースを想定しつつ、IT 統制に関する概念、経営者評価、導入ガイダンス等を示したものである。
なお、それぞれの企業がIT 統制をどのように構築し、経営者がその有効性をどのように評価するかについては、それぞれの企業の事業内容や組織構造等によって様々なケースが存在することは言うまでもなく、本追補版はこれらケースのすべてに対応しているわけではないことから、各企業は本追補版を参考にしつつも、それぞれのケースに応じたIT 統制を構築していくことが重要である。


この「監査役への応援歌」をメールマガジンで自動送付をご希望の方は次から
お申し込み下さい。 http://www.mag2.com/m/0000126609.html (無料です)

- 監査役は監査を通じて、会社と社会に貢献できる -

| Comments (0)

« January 11, 2007 | Main | January 30, 2007 »