経済産業省は10月16日、「システム管理基準 追補版（財務報告にかかるIT統制ガイダンス）追加付録（以下、追加付録）」の草案を公開した。日本版SOX法（J-SOX）に対応する企業が、パッケージ・ソフトを選択する際に確認すべき機能や、連結決算といった業務プロセスにおけるIT統制目標とアサーション（経営者の主張）について例示している。

　システム管理基準 追補版は、日本版SOX法に対応する企業向けに、IT統制（IT全般統制およびIT業務処理統制）の整備・評価方法について例示した文書。3月30日に公開した。金融庁が公開した日本版SOX法の実務上の指針（ガイドライン）である「実施基準」などを踏まえ作成された。今回の追加付録は、システム管理基準 追補版で掲載された付録の続きという位置付けである。

　追加付録は「付録7.財務会計パッケージソフトウエアの機能等一覧表（例）」「付録8.IT統制のための財務会計パッケージソフトウエア向けプロテクション・プロファイル（シナリオ例）」「付録9.IT統制目標とアサーションの考え方」の3部で構成する。

　付録7ではユーザー企業がパッケージ・ソフトを選択する際に、IT統制の評価に必要な項目を例示している。(1)データの入力、(2)インタフェース、(3)集計・検索・出力の機能、(4)年次および月次等の繰越処理、(5)各種法規対応、(6)パッケージ導入保守、(7)システム運用管理、(8)アクセス管理等の8点について、4ページの機能一覧表が付属している。

　付録8は、パッケージ・ソフトを開発・販売するベンダー向けの文書。システム管理基準 追補版の記述に沿ってパッケージ・ソフトが備えるべきIT統制の要件を「プロテクション・プロファイル」として記述している。プロテクション・プロファイルは、セキュリティに関する仕様書の内容とその評価・認証の方法を定めた「ISO/IEC 15408」で規定された文書である。

　付録9はパッケージ・ソフトだけでなく、IT統制全般に記述した文書。設定したリスクに対して整備した統制が、どのような目標やアサーションを満たしているかを業務プロセス別に記述している。例示している業務プロセスは連結、個別の2つの決算プロセスと、販売、購買、たな卸し資産、固定資産、人事給与、仕訳計上の6つの業務プロセスである。

　経産省は追加付録について、11月16日まで意見を募集する。