システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録
2007年12月26日、経産省が、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」を公表しました。
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」の公表について
http://www.meti.go.jp/press/20071226006/20071226006.html
内部統制に関しては、既に多数の市販本が販売されており、チェックリストやリスクコントロールマトリクスも多数紹介されていますので、今更という感がいなめませんが、公的文書として無料で入手できることは評価できると思います。
但し、「参考」として記載されている通り、経産省 商務情報政策局 情報セキュリティ政策室が作成した文書で、金融庁が認めた文書ではありませんし、もし、これに準じた評価を行っても監査会社が認めるかどうかは疑問です。
結局の所、自社の監査会社の考えを探りながら内部統制を構築するしかないという事です。
付録7.財務会計パッケージソフトウェアの機能等一覧表(例)の使い方
財務会計パッケージソフトウェアをカスタマイズしないで使用している場合の、IT 統制の評価に有用と思われる質問項目の例示だそうです。財務会計パッケージに関してこのような事を調査すればいいというサンプルですね。
付録8.IT 統制のための財務会計パッケージソフトウェア向けプロテクション・プロファイル (シナリオ例)
ISO/IEC 15408を参考に、会計パッケージソフトウェアが具備すべき機能を例示するためのプロテクション・プロファイル(PP)を検討した結果をシナリオ例として示されたものだそうです。財務会計パッケージソフトウェアの開発会社には参考になるかもしれませんが、一般企業にはあまり参考にならないのではないでしょうか。
付録9. IT 業務処理統制における業務プロセスごとの、リスク、統制活動、統制活動の評価手続の例示
連結決算と個別決算の財務報告プロセス、並びに販売、購買等の6つのその他のプロセスに関して、IT統制目標、リスク、統制活動の例、統制活動の評価、適切な財務諸表作成の要件(アサーション)が記載されています。付録9の中で記載されている通り、業務処理統制のリスクコントロールマトリックスを作成する際にこの例示が参考として利用できます。(※利用の際には、追補版の第Ⅳ章1.(3)、(4)の記載に留意するよう記載されています。)
(1)財務報告プロセス
①連結決算プロセス
②個別決算プロセス
(2)その他のプロセス
①販売プロセス
②購買プロセス
③たな卸資産プロセス
④固定資産プロセス
⑤人事給与プロセス
⑥仕訳計上プロセス
| 固定リンク
コメント