ホーム  >  メルマガバックナンバー  >  Ⅶ.システム管理基準 追補版 追加付録

オープンコース案内

Ⅶ.システム管理基準 追補版 追加付録

  • 第211回「IT内部統制 追加付録概要」

  • ~ITコンサルタント養成講座~

    皆さん、こんにちは! 当メルマガを担当しています井上正和です。
    211回からは、このメルマガで経済産業省のIT統制ガイドラインに2つの大きな統制
    ガイドが出てきました。
    平成19年12月26日の「システム管理基準 追補版」に対する追加付録、「システム
    管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)(以下、「追補版
    追加付録」と言います)、
    URL: http://www.meti.go.jp/press/20071226006/03_furoku.pdf
    平成19年11月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で「SaaS向け
    SLAガイドライン(案)」(以下、「SLAガイド」という)を公表しました。
    URL: http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207044
    共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
    「追補版 追加付録」は、日本版SOX法の対象である会計パッケージのIT業務処理
    統制と連結決算に係る重要業務のRCMのガイドです。
    一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の管理」に
    対するSLA、SLMのガイドラインを提供しています。
    「追補版 追加付録」の方から、要約を解説して行こうと思います。

    今日は、「IT内部統制 追加付録」メルマガの第1回です。
    「追補版 追加付録」は、「追補版」ではカバーできなかった分野に対する補足資料
    です。日本版内部統制の重点分野である会計システムには、ERPを始めとして多くの
    パッケージが存在していますが、このパッケージに対するIT統制の評価基準が例示
    されていませんでした。そのため、この点に関する事例集を付録7と付録8で作成し
    ました。 さらに、会計処理と重要業務のIT業務処理統制のIT統制目標(追補版では
    “ITコントロール目標”と言っています)とアサーションの関係記述が若干説明不足で
    したので、事例集を付録9で提示して補完しました。
    したがって、「追補版 追加付録」は、会計パッケージを中心としたIT統制の事例集です。
    会計パッケージを付録7では基本機能部分、そして付録8ではセキュリティ機能部分に
    分けて解説を施しています。
    市販の会計パッケージをTOE(Target Of Evaluation:評価対象)といい、セキュリティ
    機能部分をTSF(TOE Security Function:TOEセキュリティ機能)という名称で区別して
    解説しています。
    (1)付録7と付録8は、会計パッケージ特有の事柄に向けた記述です。
    これらの付録は、会計パッケージを活用しIT統制を行なう上で必要なIT業務処理統制
    とIT全般統制の要件を記述しています。従って、会計パッケージメーカにとっては必須
    の要件になります。
    また、ユーザ側から見ますと、IT 統制要件の具備備状況を把握するのに有益な内容と
    なっていますので、購入時のIT統制のチェック項目となります。
    付録7では、会計パッケージの機能に対するIT統制要件を質問表として、その事例を
    記載しています。パッケージが保有すべきIT統制基本要件となります。
    付録8では、会計パッケージに求められるセキュリティ機能、その方針と監査機能要件
    について整理し、さらに、その正当性の検証を付記しています。
    セキュリティ方針の作成とその評価項目の正当性を検証する手続も整理できる事になり
    ます。
    (2)付録9では、パッケージというより、財務報告プロセスとその他プロセスと記述分類され
    ている重要業務プロセスに対するIT統制目標(ITコントロール目標)とアサーションの
    関係記述例です。
    各業務プロセスの業務処理ごとにリスクと統制活動を整理していますので、業務処理統制
    のRCM(リスク・コントロール・マトリクス)作成の前ステップとして有効な資料となります。
    今回はここで終わります。次回は「付録7 パッケージの統制事項」を取り上げます。


    (雑感)先般、“目からうろこのトップアプローチ”としてご案内しましたら、3社からお問合せ
    がありました。トップセールスで困られている営業さんが多いということでしょう。
    関心事は、
    ・作成ネタの環境データはインターネットや普段の活動から収集できること。
    ・お客様のトップ向けの話のネタが素人でも作れること。
    ・作成したネタがお客単位に保存でき、改善が可能なこと。
    以上の3点でした。
    4月から、株式会社 イースタンISコンサルティングで「ズバリ!経営戦略立案ソフト」の
    販売提携をいただくことになりました。
    URLは、こちらです。 http://www.eastern-isc.jp/index.html
    今まで提携していましたITコーディネータ佐伯氏社長の(株)フロンティアは、製品提供
    会社として活動します。弊社と加えて3社での協業ということになります。
    4月から新サイトも完成しますので、またご紹介させていただきます。


    (注1)「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
    閲覧できるようにしました。
    こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
    (注2)「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
    で実施します。
    詳細は次のURLのご参照をお願いいたします。
    こちらです⇒ http://www.ism-research.com/course-1.htm
    (注3)「IT内部統制実践知識修得コース」を実施しています。
    内部統制の実施フェーズでの実践テキストとして、経済産業省のIT統制ガイド
    ラインを自在に活用した実践的IT統制の活動ができることを目的にしており
    ます。これからの内部統制の業務改善活動の拠り所とすべき必須の知識です。
    こちらです⇒ http://www.ism-research.com/course-6.htm
    (注4) プレゼンテーション技術養成コース)
    米国議会でプレゼンテーションのパターンを作ったDr.ボブ・ボイランの
    「ストーリー・ボード」を用いて、お客様の立場に立って、お互いがWin-Winを
    革新できる効果的なプレゼンテーションの技術を実戦形式で修得します。
    こちらです⇒http://www.ism-research.com/course/course-11.htm
    (注5) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」
    と「ITコーディネータ試験対策コース」を開発・実施しています。
    問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
    研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
    (注6)「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識
    の集大成をしました。
    ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
    こちらです⇒ http://www.ism-research.com/book-1.htm
    (注7)「IT経営のための経営研修コース」のオンサイト研修を実施しています。
    適正な価格(市価の半値以下)で、カスタマイズした実践的コースを提供します。
    こちらです⇒ http://www.ism-research.com/course-1.htm
    ★メルマガの配信停止は次のURLをご参照ください。
    こちらです⇒ http://www.mag2.com/m/0000118350.html


    -+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★
      (有) 情報戦略モデル研究所(ISM研)
    ITコーディネータ協会認定 研修実施機関 
                                          代表 井上 正和
    e-Mail: question@mail.ism-research.com
    ISMリサーチURL:http://www.ISM-Research.com/
    -+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★

ページトップへ