~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第37回です。
経産省公表「システム管理基準 追補版」の付録の最後にある付録6について解説しておきます。
URL: http://www.meti.go.jp/press/20070330002/systemkijun-tsuiho.pdf
【付録6】各IT統制に対するリスクコントロールマトリクス(RCM)の記載例です。統制
対象ごとに、「リスク」、「統制目標」、「統制の状況(統制活動)」、「整備・運
用の種別」、「頻度」、「自動・手動の種別」、「評価項目」、「統制評価手続」、
「評価並びに検出事項」、「調書番号」、「評価結果」の記述欄の記載例で
す。RCMは内部統制の3点セットの1つです。記述すべき必要項目が記述されるとみるのが適切でしょう。
◆ 「IT全社的統制」の統制対象は「ITへの対応」以外の5つの基本的要素
に対するIT化方針の統制であり、評価項目は財務報告の信頼性となります。
◆ 「IT全般統制」の統制対象は「開発/保守」、「運用・管理」、
「アクセス・セキュリティ管理」、「外部委託」のIT環境です。評価項目は
IT業務処理の信頼性を確保するための「文書化」、「プロセス」、「システ
ム整備」を上げています。この評価項目は米国のIT統制の基礎概念
であるCOBITによるIT業務成熟度目標と良く類似しているようです。
やはりIT業務に関する規定はCOBITがベースにあるかもしれません。
対象システム・勘定科目別の記載例となります。
◆ 「 IT業務処理統制」の統制対象は、統制対象は「入力管理」、「出力管
理」、「データ管理」、そして「スプレッドシート等」であり、評価項目は
財務アサーションです。取引サイクル・業務処理・勘定科目別に記載
された表となります。
RCMを作成時に留意すべきことは、各IT統制の評価項目が何であるかを意識することです。
リスクは何かの判断基準があって、“リスク/リスクでない”の判断が出来るわけですから重要な観点です。
金融庁/経産省ガイドには、各IT統制の評価項目は明記されていませんが、経産省ガイドのこの付録6のRCMで判断が可能になります。
IT全般統制では、IT業務に対する成熟度が判定や対策を講じるのに必要になると思います。しかし、ガイドにはIT成熟度の記述が一切ありません。「COBIT 第4版」も活用してRCMを作成していくのが適切でしょう。
リスクコントロールマトリクス(RCM)は統制方針や業務規定を作成するため
の基本です。IT統制ではIT全社的統制のRCMから進めることになります。
次回は、「経産省 システム管理基準まとめ-11」ではIT統制の米国版と日本版の位置づけが平成19年3月30日版の「システム管理基準 追補版」で提示されていますので整理します。
(雑感)平成19年5月16日付けで、金融庁から「証券取引法等の一部を改正する法律の施行等に
伴う関係内閣府令案の公表について」が公表されました。この内容は、内部統制導入に伴う
「有価証券報告書」改正と、新たに追加される「内部統制報告書」に関する法律の草案です。
この改正に基づいて、内部統制報告書の様式が出てくるはずです。具体的な内部統制書式が
決まることで、成果目標が明らかになりますので内部統制の整備に対する勢いが付くことになる
でしょう。まだ、実施準備の企業が多いといわれていますが、“愈々、これからだな!”の観があり
ます。弊社も、「IT内部統制の実践知識修得講座」のe-ラーニングコースを協同で製作します。
完成しましたら、また案内をいたしますので、よろしくお願いします。
このベースとなる研修コースを6月20日、(株)グローバルテクノにおいて、「IT内部統制の構築
実践コース」として開催いたします。金融庁と経産省の最新のガイドラインを反映し、参照すべき
標準の活用方法も含めてのセミナーとなります。是非、ご参加いただければと思います。
実施コースは、こちらです。⇒ http://www.gtc.co.jp/semn/other_iso/itd.html
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース:http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース :http://www.ism-research.com/course-5.htm
(注2)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
(注3)「IT経営戦略策定の実践能力養成コース(COBIT第4版対応:2日間)」を実施。
2日間のSWOT分析、BSC分析、COBIT分析(COBIT第4版対応)のワークショップ付きコースでITガバナンス設計システムの要点講義・ワークショップ講座です。
こちらです⇒ http://www.ism-research.com/course-7.htm
(注4)「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心に
まとめた教材本としました。ITガバナンス協会の「COBIT For SOX」」をベースとしたテキスト
です。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」と
「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注6)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注7)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注8)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html