IT内部統制 追加付録概要

経済産業省のIT統制ガイドラインの2つの大きな統制ガイドが出てきました。
平成19年12月26日の「システム管理基準 追補版」に対する追加付録、「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)(以下、「追補版 追加付録」と言います)、
URL: http://www.meti.go.jp/press/20071226006/03_furoku.pdf

平成19年11月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で「SaaS向けSLAガイドライン(案)」(以下、「SLAガイド」という)を公表しました。
URL: http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207044

共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
「追補版 追加付録」は、日本版SOX法の対象である会計パッケージのIT業務処理統制と連結決算に係る重要業務のRCMのガイドです。
一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の管理」に対するSLA、SLMのガイドラインを提供しています。

「追補版 追加付録」の方から、要約を解説して行こうと思います。

今日は、「IT内部統制 追加付録」ブログの第1回です。

「追補版 追加付録」は、「追補版」ではカバーできなかった分野に対する補足資料です。
日本版内部統制の重点分野である会計システムには、ERPを始めとして多くのパッケージが存在していますが、このパッケージに対するIT統制の評価基準が例示されていませんでした。
そのため、この点に関する事例集を付録7と付録8で作成しました。 
さらに、会計処理と重要業務のIT業務処理統制のIT統制目標(追補版では“ITコントロール目標”と言っています)とアサーションの関係記述が若干説明不足でしたので、事例集を付録9で提示して補完しました。

したがって、「追補版 追加付録」は、会計パッケージを中心としたIT統制の事例集です。
会計パッケージを付録7では基本機能部分、そして付録8ではセキュリティ機能部分に分けて解説を施しています。
市販の会計パッケージをTOE(Target Of Evaluation:評価対象)といい、セキュリティ機能部分をTSF(TOE Security Function:TOEセキュリティ機能)という名称で区別して解説しています。

(1)付録7と付録8は、会計パッケージ特有の事柄に向けた記述です。
 これらの付録は、会計パッケージを活用しIT統制を行なう上で必要なIT業務処理統制とIT全般統制の要件を記述しています。従って、会計パッケージメーカにとっては必須の要件になります。
 また、ユーザ側から見ますと、IT 統制要件の具備備状況を把握するのに有益な内容となっていますので、購入時のIT統制のチェック項目となります。
 付録7では、会計パッケージの機能に対するIT統制要件を質問表として、その事例を記載しています。パッケージが保有すべきIT統制基本要件となります。
 付録8では、会計パッケージに求められるセキュリティ機能、その方針と監査機能要件について整理し、さらに、その正当性の検証を付記しています。
 セキュリティ方針の作成とその評価項目の正当性を検証する手続も整理できる事になります。

(2)付録9では、パッケージというより、財務報告プロセスとその他プロセスと記述分類されている重要業務プロセスに対するIT統制目標(ITコントロール目標)とアサーションの関係記述例です。
 各業務プロセスの業務処理ごとにリスクと統制活動を整理していますので、業務処理統制のRCM(リスク・コントロール・マトリクス)作成の前ステップとして有効な資料となります。 

今回はここで終わります。次回は「付録7 パッケージの統制事項」を取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする