経産省がIT統制にガイダンス公表

07 4/9

  経済産業省は、昨年成立した金融商品取引法(日本版SOX法)を受けてIT統制が内部統制の基本的要素の1つとの考えから、IT統制の構築と経営者による有効性評価までを対象にした財務報告に係るIT統制ガイダンス「システム管理基準追補版」を策定、公表した。今年1月から2月にかけてパブリックコメントを求めた結果を反映したもの。日本版SOX法に対する金融庁のガイドラインが今年1月に公表されているが、これに対してIT統制の具体的な対策を明確にしたガイダンスがようやく登場したことになる。

  従来のシステム管理基準や情報セキュリティ管理基準が有効な情報システム管理の指針として活用されているが、IT統制の詳細は不明確になっている。
  そこで、企業がIT統制をどのように構築し、経営者が有効性をどのように評価するかを具体的な事例集としてまとめて参考情報としたのが今回の追補版で、金融商品取引法における内部統制の6項目のうち、「ITへの対応(IT統制)」を対象にしている。
  追補版ではまず内容の構成と必要となる用語を定義、解説して情報システムの範囲やIT統制の概念などを明らかにしている。これに「IT統制の概要」「IT統制の経営者評価」「IT統制の導入ガイダンス(IT統制の事例)」の4章で構成した。さらに補足として他の基準との違いなどの資料を添えた。
  具体的な事例としては、例えばIT統制の整備と評価に必要な統制目標の選択では、自社のIT統制を評価する「リスクの分析と評価」「未対応の重要なリスクへの対応」「システム管理基準の統制目標を利用する」という順に整えていく。
  また、統制目標の例として「経営者が財務報告に関連したITへの対応で戦略・計画を定めること」「ITに関する方針や計画決定のための全社的な組織が設けられ、有効に運営されていること」などを明記した。
  IT統制の枠組みとしては、米国のITガバナンス協会が提唱するCOBITと、同協会が公表しているIT統制に対応する具体的事例を提供する「ITコントロール・オブジェクティブ・フォー・SOX」がある。追補版は後者のITコントロールに相当するものだが、今回は主要なケースを想定した参考情報であることから、企業の実情に合せた運用を行うよう求めている。


 システム管理基準 追補版(財務報告に係るIT統制ガイダンス 

 URL:http://www.meti.go.jp/press/20070330002/20070330002.html