« 経済産業省 「電子商取引及び情報財取引等に関する準則」を公示 | Main | 経済産業省 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ ン」及び「個人情報保護ガイドライン等に関するQ&A」を公表 »

2007.03.31

経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を公表

 こんにちは、丸山満彦です。年度末ということで省庁関係の報告書の締め切り?です。経済産業省の報告書三連発の第二弾は「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」です。
=====
経済産業省では、情報システムの適正な管理等を目的として策定している「システム管理基準」等と、財務報告に係る内部統制で求められている「ITへの対応」との間の具体的な対応関係を明らかにするため、「企業のIT統制に関する調査検討委員会」を開催し、審議を行ってきたところです。
今般、同委員会における検討等を踏まえ、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を取りまとめましたので、公表いたします。
=====
ということだそうで・・・。

 
経済産業省
・2007.03.30 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公表について

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(PDF形式:2,529KB)

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公表について(PDF形式:100KB)
概要版(PDF形式:203KB)

 細かい表現で気になるところは少なからずありますが、全体としては影響がないように思います。必要なところだけ参考にして使うというのがよいでしょうね。。。
 IT統制も大切なのですが、やはり決算の部分の内部統制や全社的な内部統制が重要なわけで、細かいミスを予防、発見する内部統制を網羅的に識別して評価しようとするよりも、経営者が依拠している重要な内部統制の有効性こそ評価すべきですよね。。。そういう意味では、業務プロセスの可視化をするようなことを考えるよりもどうして経営者はその売上高に虚偽記載がないと信じられるのか?ということを考えるほうがよいでしょうね。。。

1.全社的な内部統制の評価を十分にする
2.決算・財務報告プロセスの内部統制の評価を十分にする
それから
3.その他の業務プロセスに係る内部統制における重要な内部統制の識別を行う
4.評価が必要な業務処理統制を識別する。
5.その業務処理統制にIT業務処理統制があるかどうかを検討する。あれば、
6.そのIT業務処理統制に関係するIT環境のIT全般統制の評価を行う

って感じですかね。。。


パブコメ結果
・2007.03.30 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」に対する意見意見募集の結果について
意見公募の結果
御意見等の概要と御意見等に対する考え方
システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(修正履歴付き)

【参考】このブログ
・2007.02.07 経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)について
・2007.01.19 経済産業省 パブコメ 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」
・2007.01.02 ITGI 企業改革法遵守のためのIT統制目標(第2版)翻訳版 公表



【過去の今日】
・2006.03.31 米国 Data Accountability and Trust Act (DATA)
・       「資産の保全」と他の目的との関係、「ITへの対応」と他の基本的要素との関係
・2005.03.31 埼玉県 住民基本台帳ネット ISMS認証取得
・       重要インフラのセキュリティ強化費用は誰が負担すべきか

|

« 経済産業省 「電子商取引及び情報財取引等に関する準則」を公示 | Main | 経済産業省 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ ン」及び「個人情報保護ガイドライン等に関するQ&A」を公表 »

Comments

はじめまして。いつも参考にさせて頂いております。
IT統制については、リスクの軽重を分けずに細かな所まで網羅的に整備していくのはあまり現実的ではないと思いますので、大枠としては上記1−6でおっしゃっているような流れになるのでしょう。
しかし、重要な業務処理統制の識別から必要なIT統制を導き出す際には日々の業務を支える現状の社内システムの全体像とIT統制のレベルを把握していなければ不正確・非効率ですし、全社的な内部統制およびIT全般統制に関しても、ITにおける課題と今後の変更計画が財務報告の信頼性に与える影響を評価する必要もあるでしょうから、こうしたガイダンスを用いて独立したアプローチでIT統制を評価する作業は有効だと思います。(もちろんやりすぎない範囲で)

Posted by: Dick | 2007.04.03 at 10:45

Dickさん、コメントありがとうございます。
=====
重要な業務処理統制の識別から必要なIT統制を導き出す際には日々の業務を支える現状の社内システムの全体像とIT統制のレベルを把握していなければ不正確・非効率ですし、全社的な内部統制およびIT全般統制に関しても、ITにおける課題と今後の変更計画が財務報告の信頼性に与える影響を評価する必要もあるでしょうから、こうしたガイダンスを用いて独立したアプローチでIT統制を評価する作業は有効だと思います。(もちろんやりすぎない範囲で)
=====
 そうですね。目的を達成するための手段を正しく選べぶことは重要ですね。
 

Posted by: 丸山満彦 | 2007.04.05 at 09:58

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/14465491

Listed below are links to weblogs that reference 経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を公表:

« 経済産業省 「電子商取引及び情報財取引等に関する準則」を公示 | Main | 経済産業省 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライ ン」及び「個人情報保護ガイドライン等に関するQ&A」を公表 »