経産省が作成した「IT統制ガイダンス」とは、金融庁が進めている日本版SOX法対応のガイドライン「実施基準」に対して、「ITへの対応」の主なケースを想定し、IT統制に関する概念や経営者評価、導入ガイダンスなどを示したものです。
日本版SOX法への対応において、財務報告に係る内部統制で求められている「ITへの対応」を行う必要に迫られている企業に対して、IT統制に関する考え方や経営者評価、導入ガイダンスなどを具体的かつ詳細に例示することを目的としています。
つまり、IT統制ガイダンスは、日本版SOX法における「ITへの対応」に関する考え方や導入方法などを、具体例を挙げて指南しているガイドラインであるといえます。
約150ページから構成されるIT統制ガイダンスの内容は、作成の背景などに言及した“まえがき”に始まり、第II章「IT統制の概要について」と第III章「IT統制の経営者評価」を理論編として、IT統制についての基本的な枠組みを提供しています。
第IV章「IT統制の導入ガイダンス(IT統制の例示)」は導入編として、IT統制を構築し評価するためのガイダンスであり、全社的統制や全般統制、業務処理統制ごとにIT統制の例を具体的かつ詳細に説明しています。
“付録”では、付録1のシステム管理基準追補版とCOBIT、JICPAのIT委員会報告第3号、ITILなど参考となるほかの基準との比較・対応や、付録2のシステム管理基準の管理項目と統制目標の対応(例)、付録4の評価手続きなどの記録および保存における保存期間や保存対象とする内容、付録5のサンプリングの手法やサンプル件数の例、付録6のリスクコントロールマトリクスの記述例など実務作業における有効な例示が数多く記述されています(図1)。
Copyright © ITmedia, Inc. All Rights Reserved.