経産省 システム管理基準 追補版まとめ-7

「第4章 IT統制の導入ガイダンス」の4つの要点の続きです。残りの2つを続けて解説します。

(3)IT統制の方針記述はリスク分析が起点

統制項目を作成するには、その評価項目が必要です。その評価項目に対して「追補版」では、IT業務処理統制に対するものとして財務アサーションのみを挙げていますが、IT全社的統制とIT全般統制に対しても評価項目が必要です。

企業によって異なる分はあるのでしょうが、このガイドの本文記述や記述文書例の中から判断しますと、「IT 業務処理統制」は財務アサーションであり、「IT全般統制」はIT業務処理の信頼性を確保するための業務規定度合い(文書化)PDCAの管理プロセス度合い(プロセス)、IT 化インフラ整備度合い(システム整備)となります。

「IT全社的統制」は、基本的要素のIT化目標に焦点を当てれば良いと思います。

これらの評価目標に対するリスク分析例が、「リスクコントロールマトリクスの例」として付録6注に例示されています。

(注)参照URL:  http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdf

(4)統制目標、統制項目作成にはシステム管理基準の管理項目を活用

「IT全社的統制」の一部を除いて、統制目標、統制項目作成にはほとんどシステム管理基準の管理項目を活用しています。

ただ、システム管理基準の管理項目はIT統制の構成や統制項目と若干のズレがあります。

そのため、付録2の「システム管理基準との統制目標の使い方」にそのズレを調整する対比表を例示しています。

また、このガイドで使用しているIT統制での統制目標、統制はシステム管理基準での管理項目が下位の管理項目を記述していますので、上位概念として捉えれば良いと思います。

以上で、今回は終わります。
次回は、「経産省 システム管理基準まとめ-8」では重要記述文書のサンプルの記述例である付録の内容を整理します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする