経産省 システム管理基準 追補版まとめ-10

経産省公表「システム管理基準 追補版」の付録の最後にある付録6について解説しておきます。
URL:  http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdf

【付録6】各IT統制に対するリスクコントロールマトリクス(RCM)の記載例です。
統制対象ごとに、「リスク」、「統制目標」、「統制の状況(統制活動)」、「整備・運用の種別」、「頻度」、「自動・手動の種別」、「評価項目」、「統制評価手続」、「評価並びに検出事項」、「調書番号」、「評価結果」の記述欄の記載例です。

RCMは内部統制の3点セットの1つです。記述すべき必要項目が記述されるとみるのが適切でしょう。

◆「IT全社的統制」の統制対象は「ITへの対応」以外の5つの基本的要素に対するIT化方針の統制であり、評価項目は財務報告の信頼性となります。

◆「IT全般統制」の統制対象は「開発/保守」、「運用・管理」、「アクセス・セキュリティ管理」、「外部委託」のIT環境です。
評価項目は、IT業務処理の信頼性を確保するための「文書化」、「プロセス」、「システム整備」を上げています。

この評価項目は米国のIT統制の基礎概念であるCOBITによるIT業務成熟度目標と良く類似しているようです。
やはりIT業務に関する規定はCOBITがベースにあるかもしれません。
対象システム・勘定科目別の記載例となります。

◆「IT業務処理統制」の統制対象は、統制対象は「入力管理」、「出力管理」、「データ管理」、そして「スプレッドシート等」です。
評価項目は、財務アサーションです。取引サイクル・業務処理・勘定科目別に記載された表となります。

RCMを作成時に留意すべきことは、各IT統制の評価項目が何であるかを意識することです。
リスクは何かの判断基準があって、“リスク/リスクでない”の判断が出来るわけですから重要な観点です。

金融庁/経産省ガイドには、各IT統制の評価項目は明記されていませんが、経産省ガイドのこの付録6のRCMで判断が可能になります。

IT全般統制では、IT業務に対する成熟度が判定や対策を講じるのに必要になると思います。

しかし、ガイドにはIT成熟度の記述が一切ありません。「COBIT 第4版」も活用してRCMを作成していくのが適切でしょう。

リスクコントロールマトリクス(RCM)は統制方針や業務規定を作成するための基本です。IT統制ではIT全社的統制のRCMから進めることになります。

次回は、「経産省 システム管理基準まとめ-11」ではIT統制の米国版と日本版の位置づけが平成19年3月30日版の「システム管理基準 追補版」で提示されていますので整理します。