Web教材一覧法規・基準システム監査金融商品取引法と内部統制

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

学習のポイント

ここでは、経済産業省「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」2007年3月 http://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdfの概要を取扱います。
 次の二つのシリーズの展開として学習してください。
 ・「システム監査」での「システム管理基準」の追加
 ・「金融商品取引法」での「内部統制」のうち「ITへの対処」に関する具体的説明

システム監査での「システム管理基準」は,企業でのシステム監査を行うときに,監査の判断尺度として用いるべき基準として,2004年に策定されていました。
 経営戦略に沿って効果的な情報システム戦略を立案し,その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で,効果的な情報システム投資,リスクコントロールを適切に整備・運用するための実践規範になっています。

経済産業省は、2007年に「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」 http://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdf(「IT統制ガイダンス」という)を策定しました。これは、金融商品取引法の施行に際して金融庁が策定した「財務報告に係る内部統制の評価及び監査に関する実施基準」(実施基準)のなかの「ITへの対応」に関して,システム管理基準を追補したものです。「ITへの対応」への取組み方法を具体的な例をあげて説明したものです。
 しかし,これは例示であり,それに従うべきだとか最善な方法だというのではありません。

すなわち,実施基準が金融商品取引法遵守のための基本的な規範を示していることに対して,IT統制ガイダンスは,対処方法を具体的に例示したものになっています。

IT統制ガイダンスの目次は次の通りです。

Ⅰ章 本追補版の構成と用語について

理論編

Ⅱ章 IT統制の概要について
1. 財務報告とIT統制
(1)金融商品取引法に求められている
   内部統制とITの関係
(2) 財務報告とIT統制の関係
2. IT統制の統制項目
(1) IT全社的統制
(2) IT全般統制
(3) IT業務処理統制

Ⅲ章 IT統制の経営者評価
 1. IT統制の評価のロードマップ
 2. 評価の決定と対象となるITの把握
 3. IT全社的統制の評価
 4. 業務プロセスに係るIT統制の評価
 5. IT統制の有効性の判断

導入編

Ⅳ章 IT統制の導入ガイダンス(IT統制の例示)
1. ガイダンスの使い方
2. IT全社的統制
3. IT全般統制
4. IT業務処理統制
5. モニタリング

付録

1.システム管理基準追補版と他の基準との対応
2.システム管理基準の統制目標の使い方
  システム管理基準の管理項目と統制目標の対応(例)
3.ITコントロールとITの具体的な技術の例示
4.評価手続等の記録及び保存
5.サンプリング
6.リスクコントロールマトリクスの例
    IT全般統制評価記述書
    IT全社的統制評価記述書
    IT業務処理統制評価記述書

第Ⅱ章と第Ⅲ章は理論編で,IT統制についての基本的な枠組みを提供しています。
 第Ⅳ章は導入編で,IT統制の3区分であるIT全社的統制,IT全般統制,IT業務処理統制について,IT統制の例を具体的かつ詳細に説明しています。
 付録では,関連する各種基準との対比や,リスクコントロールマトリクスの記述例など実務作業での例示を掲げています。

理論編の例

「IT全般統制」を例にすると,IT統制ガイダンスでは,実施基準を次のように詳細化・具体化しています。

システムの開発、保守に係る管理

第Ⅱ章:統制項目の例
  ・ ソフトウェアの開発・調達
  ・ IT基盤の構築
  ・ 変更管理
  ・ テスト
  ・ 開発・保守に関する手続の策定と保守

第Ⅲ章:評価の観点

システムの運用・管理

第Ⅱ章:統制項目の例
  ・ 運用管理
  ・ 構成管理(ソフトウェアとIT基盤の保守)
  ・ データ管理

第Ⅲ章:評価の観点

内外からのアクセス管理等のシステムの安全性の確保

第Ⅱ章:統制項目の例
  ・ 情報セキュリティフレームワーク
  ・ アクセス管理等のセキュリティ対策
  ・ 情報セキュリティインシデントの管理

第Ⅲ章:評価の観点

外部委託に関する契約の管理

第Ⅱ章:統制項目の例
  ・ 外部委託先との契約
  ・ 外部委託先とのサービスレベルの定義と管理

第Ⅲ章:評価の観点

導入編の例

ここでは,各統制項目について,【統制に関する指針】【統制目標の例】【統制の例と統制評価手続の例】を示しています。
 次は,「4.IT業務処理統制」「(1)入力管理(入力統制)-入力データの作成から保管等までの情報システムのデータの管理-」の例です。

統制に関する指針

業務プロセスにIT を利用する場合は、入力する元データの作成、入力の実施、確認、入力した元データの保管、廃棄の管理を実施する。入力では、情報システムに対する直接の手作業で実施される場合とフロッピー、CD 等の磁気媒体、EDI 等のデータ伝送、インターネットを経由してくる場合がある。データの入力で誤りや不正があると、このデータから処理され生成される財務情報に誤りや不正が発生することになる。そのため、入力されたデータが重複なく、正しいデータのみが入力さ れるような統制が必要である。

統制目標の例

4-(1)-① 入力管理ルールを定め、遵守すること
⇒(システム管理基準 Ⅳ運用3(1))
4-(1)-② データの入力は、入力管理ルールに基づいて漏れなく、重複なく、正確に行うこと
⇒(システム管理基準 Ⅳ運用3(2))
4-(1)-③ データの入力の誤り防止、不正防止、機密保護等の対策は有効に機能すること
⇒(システム管理基準 Ⅳ運用3(4))
4-(1)-④ 入力データの保管及び廃棄は、入力管理ルールに基づいて行うこと
⇒(システム管理基準 Ⅳ運用3(5))

統制の例と統制評価手続の例

<
 リスクの例統制の例統制評価手続の例
4-(1)-① 財務情報の元となる
データの入力に管理
ルールがなく誤りが
発生,もしくは不正な
入力が行われる。		 入力データの作成,授受,検証,
入力の実施,入力後の確認,保
管等,情報システムヘのデータ
入力に伴う一連の作業について
手順,検証方法,承認方法を入
力管理ルールとして明文化す
る。		 入力データの作成,授受,検証,
入力の実施,入力後の確認,保
管等,情報システムヘのデータ
入力に伴う一連の作業について
手順,検証方法,承認方法を入
力管理ルールとして明文化して
いるか確かめる。
4-(1)-② 財務情報の元となる
取引データの入力に
過不足が発生する。		 入力管理ルールに記載されてい
る手順に従い,入力データに欠
落,二重入力等の誤りが発生し
ないように制御,検証をする。		 入力管理ルールに記載されてい
る手順に従い,入力データに欠
落,二重入力等の誤りが発生し
ないように制御,検証する機能
があることを確かめる。
4-(1)-② 財務情報の元となる
取引データの入力に
誤りが発生,もしくは
不正な入力が行われ
 入力管理ルールに記載されてい
る手順に従い,正確に入力が行
われるように制御,検証をする。		 入力管理ルールに記載されてい
る手順に従い,正確に入力が行
われるように制御,検証する機
能があることを確かめる。
4-(1)-③ 財務情報に係る情報
システムを入力する
際に不正な入力が行
われる。		 誤り防止,不正防止及び機密保
護等のために,正当な承認に基
づいて入力データの作成,取扱
い等をする。		 入力データの作成,取扱い等は
正当な承認に基づいて実施され
ていることを確かめる。
4-(1)-④ 財務情報の紛失,盗
難,漏えいが発生す
る。		 入力データの紛失,盗難,漏え
い等を防止するため,保管及び
廃棄は入力管理ルールに基づい
て行う。		 入力データの保管及び廃棄は入
力管理ルールに基づいているこ
とを確かめる。

「入力データの重複・漏れの防止」には、入力したデータのリスト(プルーフリスト)を原票発生部門に送り、そこで確認を得るのが適切です。
 「誤りデータの入力防止」では、入力システムが誤りチェックをして正しいデータだけを受け入れるようにする必要があります。それをエディットバリデーションチェックといいます。