経済産業省は10月16日、「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス)追加付録(以下、追加付録)」の草案を公開した。日本版SOX法(J-SOX)に対応する企業が、パッケージ・ソフトを選択する際に確認すべき機能や、連結決算といった業務プロセスにおけるIT統制目標とアサーション(経営者の主張)について例示している。
システム管理基準 追補版は、日本版SOX法に対応する企業向けに、IT統制(IT全般統制およびIT業務処理統制)の整備・評価方法について例示した文書。3月30日に公開した。金融庁が公開した日本版SOX法の実務上の指針(ガイドライン)である「実施基準」などを踏まえ作成された。今回の追加付録は、システム管理基準 追補版で掲載された付録の続きという位置付けである。
追加付録は「付録7.財務会計パッケージソフトウエアの機能等一覧表(例)」「付録8.IT統制のための財務会計パッケージソフトウエア向けプロテクション・プロファイル(シナリオ例)」「付録9.IT統制目標とアサーションの考え方」の3部で構成する。
付録7ではユーザー企業がパッケージ・ソフトを選択する際に、IT統制の評価に必要な項目を例示している。(1)データの入力、(2)インタフェース、(3)集計・検索・出力の機能、(4)年次および月次等の繰越処理、(5)各種法規対応、(6)パッケージ導入保守、(7)システム運用管理、(8)アクセス管理等の8点について、4ページの機能一覧表が付属している。
付録8は、パッケージ・ソフトを開発・販売するベンダー向けの文書。システム管理基準 追補版の記述に沿ってパッケージ・ソフトが備えるべきIT統制の要件を「プロテクション・プロファイル」として記述している。プロテクション・プロファイルは、セキュリティに関する仕様書の内容とその評価・認証の方法を定めた「ISO/IEC 15408」で規定された文書である。
付録9はパッケージ・ソフトだけでなく、IT統制全般に記述した文書。設定したリスクに対して整備した統制が、どのような目標やアサーションを満たしているかを業務プロセス別に記述している。例示している業務プロセスは連結、個別の2つの決算プロセスと、販売、購買、たな卸し資産、固定資産、人事給与、仕訳計上の6つの業務プロセスである。
経産省は追加付録について、11月16日まで意見を募集する。
