~ITコンサルタント養成講座~
皆さん、こんにちは! しばらく振りです。
日本版内部統制のIT統制のガイドラインである経産省公表の「システム管理基準 追補版」(財務報告に係るIT統制ガバナンス)、通称“追補版”をまとめていました。メルマガ再開します。
当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第28回です。
この回から8回ほどに亘って、平成19年1月19日に経産省からパブリック・オピニオン付きで公表されました「システム管理基準 追補版(財務報告に係る IT 統制ガイダンス)(案)」について、触れておこうと思います。
このガイドラインは日本で内部統制を構築していく場合、その中のIT統制の構築では根幹になるガイドです。
日本の内部統制は、「ITへの対応」が基本的要素に加わっていることは述べてきました。この要素の意味するところは、この経産省のガイド読みますと、“基本的要素の他の5つはIT化によって、より有効になる。” と言う考え方が基本に流れています。IT内部統制といわれるのが理解できます。
それでは、IT内部統制を構築する上で、必要となる各種の標準とこのガイドとの関係を抑えるところから始めましょう。
日本のIT内部統制は、内部統制のガイドラインである「財務報告に係る内部統制の評価及び監査に関する実施基準」(金融庁)(以降、「実施基準」という。)とこのガイドラインのもとで策定されたIT統制のガイドライン「システム管理基準 追補版」(経済産業省)(以降、「追補版」という。)が基本にあります。
「追補版」のIT統制の統制目標や統制項目にはシステム基準が基礎データ情報となっています。この追補版の下で、ISMS注とITILはセキュリティとITサービス運用における管理、実施項目作成の重要な標準となります。
「実施基準」と「追補版」のIT内部統制のバックボーンは米国の「企業改革法遵守のためのIT統制目標 (第2版)」(ITガバナンス協会)であり、そのIT統制の推奨標準はCOSOが推奨する「COBIT(第4版)」(ITガバナンス協会)です。
グローバル企業で英語圏で活動する企業には必須の標準です。
(注)ISMS (Information System Management System):セキュリティ管理のシステムガイド
ライン
平成19年1月19日公表の経産省「システム管理基準 追補版」は、金融庁公表の内部統制の
ガイドラインである「財務報告に係る内部統制の評価及び監査に関する実施基準」いわゆる「実
施基準」に準拠して作成されたIT統制のガイドラインです。
日本においては、ITガバナンスのためのガイドラインとして「システム管理基準」がありました。そのために、本ガイドラインでは米国ITガバナンス協会の「企業改革法遵守のためのIT統制目標 (第2版)」のIT統制の枠組みを活用し、統制項目等は「システム管理基準」を活用するガイドとして作成されています。
金融庁の「実施基準」に明記されている「ITに係る全般統制と業務処理統制の記述」を具体化し、IT統制の観点で整理し、提供しています。
以上で、今回は終わります。
次回は、「経産省 システム管理基準まとめ-2」 として、「追補版」の内容構成から話してみようと思います。
(雑感)先週土曜(平成19年3月30日)に経産省のIT統制の本番ガイドラインである「システム
管理基準 追補版」が公表されました。2月15日、内部統制の本番ガイドラインである金融庁の
「実施基準」に準拠したガイドラインです。日本版SOX法に準拠した実施ガイドラインが出揃った
ことになります。
日本版SOX法に対応する実施年度まで 最早、1年しかありません。今までSOX法対応で先行
してきた企業は米国の内部統制に沿って準備してきました。日本版SOX法対応でいくつかの
修正が必要になると思います。
各ガイドとも、それぞれ130ページ、150ページの内容です。内部統制を実施または検討して
いる企業はこれらのガイドの理解が必須です。概要はこのメルマガでお伝えできますが、
内部統制の推進者や対象部門の管理者の方は正確な知識を持つことが必要です。
そうしないと、膨大な費用が掛かることになります。
弊社では、両ガイドラインに則った研修コースで簡潔に、安価にお手伝いします。
是非参考にしてください。おそらく、この内容の研修は日本初です。
案内はこちらです。 http://www.ism-research.com/course-6.htm
(注1)「IT内部統制の実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース: http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース : http://www.ism-research.com/course-5.htm
(注2)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注3) ITガバナンス協会の「Cobit For SOX」に基づいた内部統制を「IT内部統制の実践入門」
としてメルマガ内容をPPTを用いて具体的に図解を中心にまとめた教材本としました。
管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注4) ITコーディネータガイドラインV1.1対応の「ITコーディネータ試験想定問題集」と
「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注5)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注6)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html