2007-01-27

システム管理基準で示された「IT委員会報告第3号」

先に経済産業省より公開された「システム管理基準 追補版」の付録1において、「我が国の企業にそのまま適用しづらい面もある」と断った上で、IT統制の代表的な枠組みが8つ示されています。その中から「COBIT for SOX 2nd Edition」と「IT委員会報告第3号」(公認会計士協会IT委員会第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚位表示リスクの評価及び評価したリスクに対応する監査人の手続について」)を特に取り上げ、システム管理基準との対比が表にして示されています。つまり、財務報告に係るIT統制の基準としてこの2つは重要であり、J-SOX法に関わる私たちにとって理解しておくべきものだということですね。
右側の リンク(法制度・指針) に「IT委員会報告第3号」を追加しておきました。全部で17ページとボリュームは少なめなので、ささっと読めます。

「IT3号」は、監査人の会計監査を中心としたIT を利用した内部統制のリスク評価の考え方と手続を中心に整理されており、内部監査人や会計監査人が実施していくうえでの手引書として利用するのに適している。
「IT 統制目標.V2」はCOSO(トレッドウェイ委員会組織委員会)フレームワークを念頭に置いてIT 統制目標が整理され、米国を中心に普及が図られたが、2年間の適用を経て見直しが図られた。初版との違いは、エグゼクティブサマリーに1章を割いて、統制を管理する側へのガイダンスを設けて理解を促すとともに、参考資料に評価基準とテンプレートを多数用意して、広範囲に活用できるように整理された。内部統制の関係者に対し、各々の立場で手引書として利用できるよう構成されている。
(「システム管理基準 追補版」経済産業省 2007/1/19)

関連記事
経済産業省がJ-SOX向け「IT統制」の指針を公開、具体例を豊富に記載(2007/1/19)
「COBIT for SOX 2nd」日本語版が公開(2007/1/1)