～ＩＴコンサルタント養成講座～

皆さん、こんにちは！ 当メルマガを担当しています井上正和です。
２１１回からは、このメルマガで経済産業省のIT統制ガイドラインに2つの大きな
統制ガイドが出てきました。
平成19年12月26日の「システム管理基準 追補版」に対する追加付録、
「システム管理基準 追補版」(財務報告に係るIT統制ガイダンス追加付録)
（以下、「追補版 追加付録」と言います）、
URL： http://www.meti.go.jp/press/20071226006/03_furoku.pdf
と平成19年11月21日に「ASP/SaaSの安全・信頼性に係る情報開示指針」で
「SaaS向けSLAガイドライン（案）」（以下、「SLAガイド」という）を公表しました。
URL： http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207044
共に、IT統制においては、非常に重要な意味を持つガイドラインとなっています。
「追補版 追加付録」は、日本版SOX法の対象である会計パッケージのIT業務
処理統制と連結決算に係る重要業務のRCMのガイドです。
一方、「SLAガイド」は、IT全般統制の統制項目の「外部委託に関する契約の
管理」に対するSLA、SLMのガイドラインを提供しています。
「追補版 追加付録」の方から、要約を解説して行こうと思います。

今日は、「IT内部統制 追加付録概要」メルマガの第２回です。
「追補版 追加付録」の付録７では、会計パッケージに対するIT業務処理統制
に係る評価を質問表として作成しています。
この内容は、会計パッケージとして具備すべきIT 統制事項に対する質問です 。
業務処理のデータ処理プロセスとしては、入力処理、出力処理、データ維持管理
ですが、会計パッケージという特性に合わせて５つの対象分野、「データの入力」、
「インターフェース」、「集計・検索・出力の機能」、「繰越処理」、「各種法規対応」を
パッケージの機能に対する統制要件分野として規定し、質問の形式で統制要件の
例示をしています。
◆「データ入力」では、「入力の正確性、完全性の確保が出来ること」、
「仕訳データ確定の承認機能があること」、「データ変更の可能性と履歴の保存
および追跡可能性」を求めています。
◆「インターフェース」では、自動仕訳機能等による「アプリケーション間 の網羅性」、
「インポート/エクスポート機能による網羅性、完全性、正 確性」が統制項目となり
ます。
◆「集計・検索・出力の機能」では、複式簿記の原則に基づいた「仕訳データの集計」、
「仕訳データの検索」、出力帳票のバージョン管理等を含めた「出力に関する機能」
を対象としています。
◆「繰越処理」では、年次および月次の繰越処理が完全性、正確性、正当性をもって
移行更新できることを対象としています。
◆「各種法規対応」では、「消費税の処理」や「電子帳簿保存法の対応可能性」の機能
と処理後の手修正の可能性が統制の対象となります。
付録7では、IT業務処理統制の分野に加えて、パッケージに係るIT全般統制の
対象分野として、「パッケージ導入保守」、「システム運用管理」、「アクセス管理」を上げ、
その規定と質問の例示があります。
◆「パッケージ導入保守」では、導入時や繰越時の「システム初期設定項目」に 対する
機能、「ソースプログラム」の開示、「DBMS」の機能、「OS」への依存やシングルサイン
オンの有無等、「バージョンアップ」に対するユーザー関与の有無等が統制の対象
として捉えている。
◆「システム運用管理」では、障害時の原因究明のための「稼働記録の保持」、バック
アップリカバリーによる「データファイルの保全」の統制を求めている。
◆ 「アクセス管理」では、不正アクセスおよび付与された権限の不正利用をどのように防止
するかに焦点を当てた統制です。「システムに対するアクセス権限」、「ユーザーIDの
管理が出来る機能」、「ログ収集の可否とそのレベル」、第３者牽制等による「権限設定
の制限」機能などがIT全般統制事項として挙げられています。
今回はここで終わります。次回は「付録７ 財務パッケージソフトウエアの質問表」を取り
上げます。

（雑感）日経新聞（3/28）でかなりの紙面を割いて経済教室のコラムで『ITで経営の
「可視化」急げ』のテーマで、東京大学の元橋教授が経営戦略へのIT活用の重要性を
述べておられます。読まれた方も多いかと思いますが、要点は次の３点でした。
◆日本企業のITの遅れは経営陣が基本系システム活用に留まりがちであり、また
米国と比較すると、日本ではIT戦略が経営戦略に明記されていないことが多い
◆ITを経営戦略実現のための重要なツールと位置づけている企業は、そうでない
企業と比べ明らかに生産性が高い
◆会社全体としてのビジネス分析能力を強化し、将来の「見える化」を実現すること
以上のような内容です。
有名国立大学の教授が、将にITCプロセスによるIT経営の重要性を技術論だけでなく
論説されたのは始めてです。漸く、一般化するということかもしれません。
ITコーディネータ諸氏にとっては、当たり前かもしれませんがITCプロセスに則った、
IT経営をしっかり再復習しておくのが良いことかもしれません。
また、弊社のIT経営研修もお忘れなきよう！
こちらです⇒ http://www.ism-research.com/course-1.htm

（注１）「経営戦略」、「情報戦略」の基礎知識等の今までの全てのバックナンバーを
閲覧できるようにしました。
こちらです⇒ http://www.ism-research.com/mailmagazine/content.htm
（注２）「ITコーディネータ協会認定コース」をオープンコースとして東京、神戸教室
で実施します。
詳細は次のＵＲＬのご参照をお願いいたします。
こちらです⇒ http://www.ism-research.com/course-1.htm
（注３）「ＩＴ内部統制実践知識修得コース」を実施しています。
内部統制の実施フェーズでの実践テキストとして、経済産業省のIT統制ガイド
ラインを自在に活用した実践的IT統制の活動ができることを目的にしており
ます。これからの内部統制の業務改善活動の拠り所とすべき必須の知識です。
こちらです⇒ http://www.ism-research.com/course-6.htm
（注４) プレゼンテーション技術養成コース）
米国議会でプレゼンテーションのパターンを作ったDr．ボブ・ボイランの
「ストーリー・ボード」を用いて、お客様の立場に立って、お互いがWin-Winを
革新できる効果的なプレゼンテーションの技術を実戦形式で修得します。
こちらです⇒ http://www.ism-research.com/course/course-11.htm
（注５) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題集」
と「ITコーディネータ試験対策コース」を開発・実施しています。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
（注６）「経営戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識
の集大成をしました。
ＩＳＭリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
（注７）「IT経営のための経営研修コース」のオンサイト研修を実施しています。
適正な価格（市価の半値以下）で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html

-+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★
  （有） 情報戦略モデル研究所（ＩＳＭ研）
ITコーディネータ協会認定 研修実施機関
                                     代表 井上 正和
e-Mail： question@mail.ism-research.com
ISMリサーチURL：http://www.ISM-Research.com/
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-================★