経産省がIT統制にガイダンス公表

　　経済産業省は、昨年成立した金融商品取引法（日本版ＳＯＸ法）を受けてＩＴ統制が内部統制の基本的要素の１つとの考えから、ＩＴ統制の構築と経営者による有効性評価までを対象にした財務報告に係るＩＴ統制ガイダンス「システム管理基準追補版」を策定、公表した。今年１月から２月にかけてパブリックコメントを求めた結果を反映したもの。日本版ＳＯＸ法に対する金融庁のガイドラインが今年１月に公表されているが、これに対してＩＴ統制の具体的な対策を明確にしたガイダンスがようやく登場したことになる。

　 従来のシステム管理基準や情報セキュリティ管理基準が有効な情報システム管理の指針として活用されているが、ＩＴ統制の詳細は不明確になっている。
　 そこで、企業がＩＴ統制をどのように構築し、経営者が有効性をどのように評価するかを具体的な事例集としてまとめて参考情報としたのが今回の追補版で、金融商品取引法における内部統制の６項目のうち、「ＩＴへの対応（ＩＴ統制）」を対象にしている。
　 追補版ではまず内容の構成と必要となる用語を定義、解説して情報システムの範囲やＩＴ統制の概念などを明らかにしている。これに「ＩＴ統制の概要」「ＩＴ統制の経営者評価」「ＩＴ統制の導入ガイダンス（ＩＴ統制の事例）」の４章で構成した。さらに補足として他の基準との違いなどの資料を添えた。
　 具体的な事例としては、例えばＩＴ統制の整備と評価に必要な統制目標の選択では、自社のＩＴ統制を評価する「リスクの分析と評価」「未対応の重要なリスクへの対応」「システム管理基準の統制目標を利用する」という順に整えていく。
　 また、統制目標の例として「経営者が財務報告に関連したＩＴへの対応で戦略・計画を定めること」「ＩＴに関する方針や計画決定のための全社的な組織が設けられ、有効に運営されていること」などを明記した。
　 ＩＴ統制の枠組みとしては、米国のＩＴガバナンス協会が提唱するＣＯＢＩＴと、同協会が公表しているＩＴ統制に対応する具体的事例を提供する「ＩＴコントロール・オブジェクティブ・フォー・ＳＯＸ」がある。追補版は後者のＩＴコントロールに相当するものだが、今回は主要なケースを想定した参考情報であることから、企業の実情に合せた運用を行うよう求めている。

　システム管理基準 追補版(財務報告に係るIT統制ガイダンス　

　URL：http://www.meti.go.jp/press/20070330002/20070330002.html