経産省がシステム管理基準に財務報告に係るIT統制ガイダンスを追加

08 1/14

 経済産業省は、昨年に策定したシステム管理基準に、財務会計パッケージソフトを利用している企業向けのIT統制ガイダンスを追加した追補版を公表した。今年4月施行の金融取引商品法における内部統制でもITへの対応も基本的要素となっており、特に導入率の高い業務パッケージにおいて、IT統制をどのように構築して評価するかを改めて参考資料として明らかにしたもの。これまでは経営者や実務者を想定したガイダンスだったが、今回の追補版で初めてパッケージソフト向けに目を向けたことになる。

 4月施行の金融商品取引法によって、上場企業や上場を予定している企業などは、財務報告に係る内部統制の整備および運用状況の有効性について評価・報告することが義務づけられている。
  一方で経産省が策定した「システム管理基準」と「情報セキュリティ管理基準」は、情報システムの管理指針として広く活用されているが、IT統制に係る詳細は不明瞭な点がある。そこで経産省は、「企業のIT統制に関する調査検討委員会」を設置して対応を検討してきた。
  今回の追補版はその結果を踏まえて、システム管理基準等を活用している企業がITへの対応をどのように行っていくのかを参考情報として策定したもの。
  特に、財務会計パッケージソフトを対象とした具体的なケースを想定しており、それぞれの企業がどのようなIT統制を構築して、経営者がその有効性を評価できるような事例集として公表することにした。
  具体的には、財務会計パッケージソフトの機能など一覧表の使い方、IT統制のための財務会計ソフト向けプロテクション・プロファイル(シナリオ例)、IT業務処理統制における業務プロセスごとのリスク統制活動や統制活動の評価手順の例示となっている。
  これらは、パッケージソフトがIT統制に有効かを判断しているのではなく、企業のIT統制の構築をどのように実施するかに焦点を当てていることに注意する必要がある。
  こうした事例はあくまで主要なケースを想定した参考情報で、経産省では当該情報の位置付けを把握して、企業の実情に合せて各項目の修正や削除、追加を行ってほしいとしている。

経済産業省の発表 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」の公表について