多数の例示で応用を可能に

経産省が日本版SOX法対応の「IT統制ガイダンス」公開

2007/01/19

 経済産業省は1月19日、日本版SOX法に対応するIT統制のガイドライン「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、IT統制ガイダンス)の公開草案を発表した。金融庁の企業会計審議会内部統制部会が示した日本版SOX法の基準案や実施基準(公開草案)とIT統制との関係を示しながら、IT統制の概要や経営者の評価法、導入ガイダンスなどを例を示して解説する。2月19日まで意見を募集し、その後正式決定する。Webサイトでダウンロードできる。

IT統制を3つに分類

 IT統制ガイダンスはIT統制の概要と経営者の評価法を示す理論編、例を示しながら実際の導入法を解説する導入編、リスクコントロールマトリクス(RCM)の例などを示す付録の3構成になっている。加えて、金融庁の実施基準とIT統制ガイダンスとの間で誤解が起きないように用語の定義も冒頭で示している。例えばIT統制は、「IT全社的統制」「IT全般統制」「IT業務処理統制」の3つに分類し、意味を定義する。

 理論編の「第II章 IT統制の概要について」では、金融商品取引法が定める内部統制とITの関係や、財務報告とIT統制の関係を解説。「システム管理基準を利用してIT の内部統制を整備・運用している企業は、財務情報に係るIT 統制について、システム管理基準との関係を明らかにして、IT 統制を評価すればよいことになる」などとしている。

エンドユーザーコンピューティングの危険を指摘

 第II章ではIT統制の3つの分類に応じて、企業が取り組むべきことを紹介している。特徴は「例えば」として豊富な例示をしていること。IT全社的統制については、「経営者の方針や指示は、適正な手段で関係者に伝えられなければならないが、例えば、電子メールやイントラネットなどのITを利用した伝達は全社に浸透させる上で効果的である」(情報と伝達)などとしている。

 IT全般統制では、評価対象となる統制項目を示す。IT業務処理統制についても統制項目を紹介。項目の1つにはエンドユーザーコンピューティング(EUC)も含まれ、「財務報告に係る情報処理でEUCを利用するときの問題として、多くの企業においてユーザー部門により行われ、また、利用者のPC が利用されるため、全社的な管理から漏れていることが考えられる。そのため、スプレッドシートや作成されたデータのバックアップが十分でないことがある。財務情報を処理するという観点からは、計算式等の誤りや決算データの恣意的な修正等、虚偽記載につながる可能性について考慮しなければならない」と指摘している。

豊富な例示で自社への応用を可能に

 「第III章 IT統制の経営者評価」は、IT統制を整備する上でのロードマップを解説する。「評価対象とするITの範囲の決定」「ITに関するリスクへの評価及び対応」「IT統制の評価」「IT統制の有効性の判断、記録と保存」「財務情報に係るIT統制の評価結果の分析と対応の優先度付け」という5段階の基本的な流れを示し、それぞれについて例を交えてポイントを説明する。

 「第IV章 IT統制の導入ガイダンス」は、このIT統制ガイダンスを実際に使う上での例を収録する。IT統制の3つの分類について、考えられるリスクと、その評価、統制の例などを紹介。RCMなど企業が作成すべき文書についても例を示し、解説する。この第IV章は、付録を含めて150ページあまりのIT統制ガイダンスのうち、50ページを占める。豊富な例を参考に自社の内部統制を整備できるようになっている。

 

(@IT 垣内郁栄)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

TechTargetジャパン