経産省 システム管理基準 追補版まとめ-4

今回は第3章「IT統制の経営者評価」の要約です。この章では、財務報告に係る内部統制の経営者による評価において、経営者がIT統制のために遵守すべき事柄について解説しています。

経営者がIT 統制の整備・運用状況を評価するポイントを述べています。
このポイントは9点あります。まず、1点目から、

(1)基本計画及び方針の決定、整備・運用状況の把握と評価、不備への対応と是正

IT統制構築の基本方針として、「ITの利用」、「 ITの導入方針」、「期間」、「体制」、「教育」、「評価方法」を決定し、IT統制の整備・運用状況を把握し、記録・保存する。

さらに、把握された不備への対応と是正に関する統制責任が経営者にはあります。

(2)監査人とのIT統制評価範囲の事前協議

“「ITの評価においては、早期に監査人との協議が望ましい。”が「追補版」の見解です。

これは金融庁の実施基準も同見解です。IT統制を整備する段階で、IT評価範囲について協議し,認識を一致させていくことが必要です。

(3)IT全社的統制の方針の不徹底はIT全般統制とIT業務処理統制の不備

IT全社的統制では、“ITに係る規定類の内容が不十分である場合や、従業員への周知・徹底が不十分な場合は、各事業拠点の全てが、均質で同じ水準のIT統制が行われていない可能性がある“という見解になります。

したがって、そのような場合は全ての主要な業務拠点について、IT全般統制及びIT業務処理統制の評価を実施することになります。

(4)IT全般統制の不備はIT業務処理統制の虚偽記載の可能性

“IT全般統制に不備がある場合、財務報告の重要な事項に虚偽が発生するリスクが直接繋がるものではないため、直ちに重要な欠陥と評価されるものではない“の記述と、”IT全般統制はIT業務処理統制と密接に関連するため、その不備が重要な事項の虚偽記載を発生する可能性を評価し、速やかな改善が求められる“とあります。

IT全般統制の不備に対する速やかな是正措置が求められています。

以上で、今回は終わります。

次回は、「経産省 システム管理基準まとめ-5」 では第3章の要点の続きを整理してみようと思います。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする