サイト内検索

My Photo
March 2026
Sun Mon Tue Wed Thu Fri Sat
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 総務省 パブコメ 放送受信者等の個人情報の保護に関する指針の一部改正案 | Main | データ捏造 »

2007.02.07

経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)について

 こんにちは、丸山満彦です。経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」について「日本版SOX法の対応のために追補版に従わなければいけないんですか?」という質問が多くありますので、いつものとおり私見ですが、ちょっと考えを・・・

 
 経済産業省からシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)が公表されましたが、上記のような質問を多くの方からうけています。。。
 今回の追補版は、
1.多くの企業でシステム管理基準やセキュリティ管理基準が活用されていること
2.一方、金融商品取引法の施行により財務報告に係る内部統制の評価を行わなければならないが、その際にITへの対応についての内部統制を適正に整備・運用し、評価しなければならないこと
3.しかし、システム管理基準では、財務報告に係る内部統制の制度に対応するためには不必要な部分もあり、また十分に書き込まれていない部分もある。
4.そのためにシステム管理基準を利用している企業が財務報告に係る内部統制を適正に整備・運用し、評価できるようにすることを支援するために追補版を作成した。
 と私は考えています。

前書きの部分では、
=====
・・・
現在、我が国企業においては、このシステム管理基準等が活用されているところである。
・・・
財務報告に係る内部統制の整備運用に際して、システム管理基準等に基づいて構築されている情報システムを活用し、財務報告に係る内部統制で求められている「IT への対応」を行う必要に迫られている企業は多数存在していると考えられる。
・・・
しかしながら、システム管理基準等では、財務報告に係る内部統制におけるIT 統制の構築や評価について詳細までは規定していないことから、システム管理基準等を活用している企業が、財務報告に係る内部統制で求められている「IT への対応」を行っていくためには、システム管理基準等と「IT への対応」との間の具体的な対応関係を明らかにしていくことが不可欠である
本追補版は、我が国企業が置かれているこのような現状を踏まえ、財務報告に係る内部統制を念頭に、主要なケースを想定しつつ、IT 統制に関する概念、経営者評価、導入ガイダンス等を示したものである。
=====
と書かれていますね。

そして、この追補版は、あくまでも「ガイダンス」です。金融庁企業会計審議会が作成する基準や実施基準のような「判断基準」ではありません。

 したがって、基準や実施基準に従っていなければ、内部統制は有効でない、内部統制報告書は適正でないという意見につながることになりますが、このガイダンスに従っていないからといって必ずしも内部統制は有効ではないという意見にはなりません。

 実施基準等は判断基準ですから、一般に公正妥当という線が見えていない部分について、具体的な判断基準を与えることは難しいので抽象的な表現にならざる得ません。実施基準が抽象的という批判がときにありますが、文書の性格と現状を考えるとそれは仕方がないことです。むしろ実施基準では、黒白の判断がつけやすいような表現にできる限り勤めるべきです(そういう意味では、法律の条文と同じように読む人により判断が分かれにくいような表現にしたり、義務規定か努力規定かがわかるような表現にしたりすることのほうが重要でしょう)。

 一方、それではあまりにも抽象的ということも考えられますので、今回、その間を埋めるガイダンスを作ったということだと思っています。
 したがって、「これを全部守るのは大変」とか、「こんな詳細なものをつくるのは間違い」という批判があるかもしれませんが、それはこの追補版と実施基準等との文書の性格の違いを考えると的外れです。

 追補版に記載されていることを全部遵守する必要はなく、あくまで実施基準案等に記載されていることを遵守するように内部統制の整備・構築及び評価を行うことにエネルギーをかけるべきです。その際に、不足する情報があれば、この追補版を活用すればよいということだと思っています。。。

あっ、、、違っていたら、遠慮なくコメントください。>関係者の皆さん
それから、関係者でない方のコメント(ただし、内容に関係するもの)も歓迎です。

【過去の今日】
・2006.02.07 法務省 「会社法施行規則」,「会社計算規則」及び「電子公告規則」公布
・       ECOM 民間部門における電子商取引に係る個人情報の保護に関するガイドラインVer.4.0
・2005.02.07 個人情報とは・・・


2007.02.07 09:12 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント |

« 総務省 パブコメ 放送受信者等の個人情報の保護に関する指針の一部改正案 | Main | データ捏造 »

Comments

追補版の取扱についての考え方、とても参考になりました。
コンサルタントに意見を聞くと、ちゃんと守りましょうって答えが返ってくることが多いので、ちょっと違和感を覚えていました。
情報の取捨選択は自分でやらなければならないものかなって感じています。

Posted by: saikawa | 2007.02.12 10:08

saikawaさん、コメントありがとうございます。追補版に書いていることを全部しないといけないと思っている人がいると過剰反応につながるので、そういう誤解がないようにと思い書きました。ヒント集のようなものです。。。

Posted by: 丸山満彦 | 2007.02.13 01:08

ガイダンスとしての位置づけなど、よくわかります。
できればこの追補版の正式版で、もう少しかみ砕いた説明をして頂ければと思います。

(これに限らずですが、対象が広いだけに誤った理解は心配ですね。特にITはアウトソーシングの企業まで関係しますので) 

Posted by: macky | 2007.02.13 18:58

mackyさん、コメントありがとうございます。
できる限りわかりやすくとは思っています。。。
これからもよろしくお願いします。。。

Posted by: 丸山満彦 | 2007.02.14 01:02

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)について:

» 経産省システム管理基準追補版 [J-SOX法110番]
こんにちは、長谷友春です。 経産省がシステム管理基準追補版(財務報告に係るIT 統制ガイダンス)(案)を公表しました。当ブログ11月13日の「経産省がJ-SOX法対応のシステム指針策定」で紹介したものです。 ダウンロードはこちらから。 追補版のまえがきによると、 (1)金..... [Read More]

Tracked on 2007.02.23 21:54

« 総務省 パブコメ 放送受信者等の個人情報の保護に関する指針の一部改正案 | Main | データ捏造 »