経産省 システム管理基準 追補版まとめ-1

この回から8回ほどに亘って、平成19年1月19日に経産省からパブリック・オピニオン付きで公表されました「システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)(案)」について、触れておこうと思います。

このガイドラインは日本で内部統制を構築していく場合、その中のIT統制の構築では根幹になるガイドです。

日本の内部統制は、「ITへの対応」が基本的要素に加わっていることは述べてきました。

この要素の意味するところは、この経産省のガイドを読みますと、“基本的要素の他の5つはIT化によって、より有効になる。” と言う考え方が基本に流れています。
IT内部統制といわれるのが理解できます。

それでは、IT内部統制を構築する上で、必要となる各種の標準とこのガイドとの関係を抑えるところから始めましょう。

日本のIT内部統制は、内部統制のガイドラインである「財務報告に係る内部統制の評価及び監査に関する実施基準」(金融庁)(以降、「実施基準」という。)とこのガイドラインのもとで策定されたIT統制のガイドライン「システム管理基準 追補版」(経済産業省)(以降、「追補版」という。)が基本にあります。

「追補版」のIT統制の統制目標や統制項目にはシステム基準が基礎データ情報となっています。

この追補版の下で、ISMS注とITILはセキュリティとITサービス運用における管理、実施項目作成の重要な標準となります。

「実施基準」と「追補版」のIT内部統制のバックボーンは米国の「企業改革法遵守のためのIT統制目標 (第2版)」(ITガバナンス協会)であり、そのIT統制の推奨標準はCOSOが推奨する「COBIT(第4版)」(ITガバナンス協会)です。

グローバル企業で英語圏で活動する企業には必須の標準です。
(注)ISMS (Information System Management System):セキュリティ管理のシステムガイドライン

平成19年1月19日公表の経産省「システム管理基準 追補版」は、金融庁公表の内部統制のガイドラインである「財務報告に係る内部統制の評価及び監査に関する実施基準」いわゆる「実施基準」に準拠して作成されたIT統制のガイドラインです。

日本においては、ITガバナンスのためのガイドラインとして「システム管理基準」がありました。

そのために、本ガイドラインでは米国ITガバナンス協会の「企業改革法遵守のための「IT統制目標 (第2版)」のIT統制の枠組みを活用し、統制項目等は「システム管理基準」を活用するガイドとして作成されています。

金融庁の「実施基準」に明記されている「ITに係る全般統制と業務処理統制の記述」を具体化し、IT統制の観点で整理し、提供しています。

以上で、今回は終わります。
次回は、「経産省 システム管理基準まとめ-2」 として、「追補版」の内容構成から話してみようと思います

シェアする

  • このエントリーをはてなブックマークに追加

フォローする