日本公認会計士協会(JICPA)は11月8日、「ITにかかる内部統制の枠組み―自動化された業務処理統制等と全般統制」の草案を公表した。日本版SOX法(J-SOX)で、内部統制を確立するうえで欠かせない要素の1つである「ITへの対応」について参考になる文書だ。
この文書は財務諸表監査を担当する監査人が参考にするためのものだが、J-SOX対応の実務上のガイドライン(指針)である「実施基準」よりも詳細にIT統制について記述しているため、監査を受けるJ-SOX適用企業のシステム担当者も是非目を通しておくべき文書である。JICPAは12月14日までパブリック・コメントを受け付けている。
内容は、IT業務処理統制とIT全般統制のそれぞれの具体例、両統制の関係、EUC(エンドユーザー・コンピューティング)、外部委託先の統制の評価、など。全10ページで解説している。
IT業務処理統制については、(1)自動化された業務処理統制、(2)自動化された会計処理手続き、(3)手作業の統制に利用されるシステムから自動生成される情報、の3つの場合を取り上げている。具体的な例示とともに、IT全般統制との関係を示している。
IT全般統制については、(1)メインフレーム、(2)クライアント・サーバー型、(3)Web系の3種類のシステムについて、それぞれで留意すべき事項を挙げる。そのうえで、開発、変更、運用とセキュリティの管理について詳細を解説。例えば、開発管理の場合「開発部署と運用部署が独立している」「新規開発については取締役会等の承認を得る」など7項目を「具体的事例」として挙げる。
EUC統制では、「EUCが高度に利用されている場合は、IT全般統制の評価が必要」とする一方で、「EUCはIT部門が直接かかわらないことが少ないため、IT全般統制が整備されないことが多いため、作成者以外の再計算等の手作業で十分な場合もある」など、企業の実情に配慮した記述がある。
外部委託先の内部統制の監査も同様だ。草案では、委託者は「委託先のIT業務処理統制とIT全般統制について管理責任を有する」という趣旨を明言している。だが一方で、「委託者の社内で有効な内部統制が機能していれば、委託先の監査は不要」とするなど、緩和の条件も併記している。
| ■変更履歴 当初、JICPAの文書について「J-SOX対応向けのフレーム(枠組み)」としていましたが、正確には「財務諸表監査向けのフレームワーク」です。誤解を招く表現を変更しました。[2007/12/19 18:10] |
