経済産業省(経産省)は1月19日、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の草案を公開した。追補版は、システム部門向けに日本版SOX法(J-SOX)への対応に必要なIT統制の具体例を記述した文書。
経産省は指針を作成した目的について、「システム管理基準等を活用している企業が、財務報告にかかる内部統制に必要な『ITへの対応』を行うために、システム管理基準等と『ITへの対応』との具体的な対応関係を明確すること」と説明している。2月19日までパブリック・コメントを受け付ける。
追補版は、(1)本追補版の構成と用語について、(2)IT統制の概要について、(3)IT統制の経営者評価、(4)IT統制の導入ガイダンス(IT統制の例示)、という4章で構成。参考文献や付録を合わせると約150ページある。
経産省が公表している「システム管理基準」や「情報セキュリティ管理基準」に加え、金融庁企業会計審議会内部統制部会が、日本版SOX法対応の実務指針として2006年11月21日に公開した「財務報告にかかる内部統制の評価および監査に関する実施基準(公開草案)」(実施基準案の特集ページはこちら)との対応関係も明記している。
(1)では、実施基準案で利用されている用語を、情報システム向けに解釈する際の考え方を提示。(2)では、「財務報告とIT統制の関係」など、日本版SOX法の考え方を解説している。(3)では、経営者がIT統制を評価する際の手順や観点を説明。(4)では、ITにかかる全社的な統制、IT全般統制、IT業務処理統制について、「リスクの例」「統制の例」「統制手続きの評価例」を挙げながら詳細に解説している。
追補版には、実施基準案では明記されていなかった事項も盛り込まれている。EUC(エンドユーザー・コンピューティング)に対する考え方や、内部統制の有効性を評価するために必要なサンプルの数、などだ。IT統制に特化したRCM(リスク・コントロール・マトリックス)の例なども紹介している。
