« JNSA 「【速報版】2007年度 情報セキュリティインシデントに関する調査報告書(Ver.1.0)」を公表 | Main | 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C- »

2008.05.22

経済産業省 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について

 こんにちは、丸山満彦です。経済産業省が「IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデル」を公開していますね。。。
 こういう発想って重要だと思いますよ。。。いままでの監査って、専門家の判断によりすぎているような気がするんですよね。。。構造的に分析する必要があるのではと思っています。
 コンテンツの是非も重要なのですが、考え方(発想)について考えてほしいです(=>監査関係者)

 で、とくに重要なことは、前提条件っていうのがあるということですね。例えば、社長は粉飾をしようという意図はないとか。。。
 だから、以下のコントロールがあれば、財務報告は適切になると・・・前提条件が偽であれば、その後はあまり関係ないということになります。。。


【経済産業省】
・2008.05.21 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について

IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について(PDF形式:123KB)
IT 統制のための財務会計パッケージソフトウェア向け プロテクションプロファイル モデル(PDF形式:514KB)
IT 統制のための財務会計パッケージソフトウェア向け プロテクションプロファイル モデル 解説書(PDF形式:320KB)
プロテクションプロファイルの利活用に関する調査研究委員会 名簿(PDF形式:83KB)

|

« JNSA 「【速報版】2007年度 情報セキュリティインシデントに関する調査報告書(Ver.1.0)」を公表 | Main | 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C- »

Comments

大企業のようにIT部門が充実しているわけでもなく、小企業のようにほとんどITを使っているわけでもない会社(実は、もっとも平均的かも)にとっては、なかなかいいモデルですね。

普通に読んでもIT全般統制の具体的イメージを描くのにいいと思います。

もう少し、運用側(つまり用語がよく分からない人たち)を意識して作っていただけるとなおいいかもしれません。

Posted by: 閑人 | 2008.05.25 16:03

はじめてのコメントです。
いつも参考にさせていただいています。
ただし、今回のペーパーは閑人さんの言うとおりユーザーにとっては難解ですね。
何といってもTOEが何の略かさっぱりわかりません。
ITの世界では常識なのでしょうか。

Posted by: JSOX専担の内部監査人 | 2008.05.25 21:31

閑人さん、JSOX専担の内部監査人さん、コメントありがとうございます。。。
もう少し用語の説明等を丁寧にして、わかりやすくする必要がありそうですね。。。
なるほど、了解です。。。

Posted by: 丸山満彦 | 2008.05.26 01:59

TOEは、Test of Operational Effectivenssのことかと思いました。

解説の最後に、Target of Evaluationと書いてあったのですが、意味が分からず、結局は「財務会計パッケージ」と置き換えて読めばいいことに気がついたのですが、本当にこれでいいでしょうか。

Posted by: 閑人 | 2008.05.29 19:20

閑人さん、コメントありがとうございます。
そのとおりでございます。。。

Posted by: 丸山満彦 | 2008.06.01 05:27

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 経済産業省 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について:

« JNSA 「【速報版】2007年度 情報セキュリティインシデントに関する調査報告書(Ver.1.0)」を公表 | Main | 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C- »