経産省 システム管理基準 追補版まとめ-12

IT内部統制の中で、IT統制はITに係る統制に焦点が当てられますが、IT統制の構築・運用そして評価・報告の構造は内部統制とも同じです。

その手順を述べていきましょう。まず、
◆経営者は、内部統制のITに係る統制として、IT統制の方針と手続を決定します。
各担当者はこのIT統制の方針と手続のもとに、IT統制の規定や実施ルール等を作成し、IT統制運用のための仕組みを構築します。このIT統制の仕組みが運用され、モニタリングによる改善活動が行われることになります。
次に、

◆経営者は、評価と監査人に対して、IT統制の評価を「内部統制報告書」に含めて報告をし、監査を受けることになります。
監査人はIT統制の整備・運用状況を検証するために、方針書、規定書、業務フロー等の文書と計画、構築、運用のそれぞれの時点での実施状況の記録や方針の根拠等の文書記録も要求することになります。
さらに、

◆経営者は監査人が監査実施時に作成する「内部統制監査報告書」をもとに、是正処置を施し、「内部統制報告書」へ反映し、監査人からの監査証明を受け、内閣総理大臣へ、「財務報告書」と「内部統制報告書」を提出することになります。
内部統制の枠組みは、金融庁公表の「実施基準」ですが、しかし、内部統制は業務プロセスの統制です。現在の企業の業務プロセスはほとんどIT化されています。

経産省公表の「システム管理基準 追補版」は、そのIT統制のガイドラインです。
「実施基準」の参考資料という位置づけになっていますが、十分な留意が必要です。
経産省のガイドは、一般企業向けのガイドになっており、記述も詳細で実践向きになっているからです。
IT統制の基本である経産省のガイドラインについて述べてきましたが、業務プロセスがIT 化されていることを考えると、このガイドラインが実践の中心に位置づけられるべきではないかと考えた次第です。

IT内部統制のメルマガはここで終了です。この後に、専門的に勉強したい方に向けて、経産省ガイドラインと金融庁ガイドラインの解説本を作成したいと思います。
ご期待ください。

次回からは、日本版内部統制の中のIT統制の基盤となり、COSOが推奨している「COBIT4.0」を取り上げたいと思います。COBIT4.0はIT統制を加えたITガバナンスを提供しています。これから数年たつと、システム設計はIT統制を加えた設計が必須となるでしょう。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする