経産省 システム管理基準 追補版まとめ-11

今回は、内部統制に係る米国と日本のガイドラインや標準に関してまとめておきましょう。

まず、米国のSOX法に対応する日本の内部統制の法律は「金融商品取引法」でした。

米国のSOX法に基づいた内部統制の枠組みは、PCAOB監査基準第2号にもとづくCOSOレポートですね。

このCOSOレポートに対応する日本での枠組みは、金融庁の「実施基準」です。

平成17年7月13日に金融庁における企業会計審議会で策定された「財務報告に係る内部統制の評価及び監査の基準(公開草案)」、この基準に基づいて作成・公表された内部統制の構築と評価の「実施基準」である「財務報告に係る内部統制の評価及び監査に関する実施基準」が平成19年2月15日に公表され、内部統制の枠組みを確立しました。

この日本版内部統制に基づいて、IT統制の枠組みが平成19年3月30日、経産省によって「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス)が公表されました。このガイドの基礎になった基準は「システム管理基準」等です。

日本のIT統制でのガイドラインである「システム管理基準 追補版」に対応する米国のガイドは、ITガバナンス協会が公表した「IT Control Objectives for SOX」であり、「システム管理基準」等に該当する基準は、COSOレポートで推奨したIT統制の枠組みである「COBIT等」になります。

COBIT等と書きましたのは、この標準に加えてITIL(ISO20000)やISMS(ISO27000s)があるからです。

COSOが推奨していますのは、COBIT第3版ではなく、COBITは第4版です。

従来のCOBIT第3版との違いは、システム管理基準としてのCOBITに内部統制が組み込まれたこと、そしてITガバナンスの考え方がBSC(バランススコアカード)を取り込みビジネスの有効性や効率性を頂点に置いたことです。

さらに、COBITで注意すべき点は、IT成熟度の考え方です。内部統制の統制レベルを6段階で記述して、段階的に統制レベルを高めていくことを指向していることです。

経産省「追補版」にはこの観点が抜けていますので、COBITを参照資料に加えることでIT統制目標の設定でより良いIT統制の規定書作りを可能にするはずです。

COBIT4.0は、IT統制や今後の企業システム設計において重要なテーマなので、 また取り上げたいと思います。

COBIT4.0のURL: http://www.itgi.jp/download.html

今回はここで終わります。
次回の「経産省 システム管理基準まとめ-12」では、今まで述べてきましたIT統制に関するガイドライン「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス)の記述内容の要点を全体整理して、このIT 内部統制を終了します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする