コラム2007年04月30日 【SCOPE】 財務報告に係るIT統制ガイダンスを読み解く(2007年4月30日号・№209)
経済産業省がIT統制への参考情報を示す
財務報告に係るIT統制ガイダンスを読み解く 経済産業省は3月30日、「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」(以下、IT統制ガイダンス)を公表した。IT統制ガイダンスは、システム管理基準等を活用している企業が財務報告に係る内部統制で求められているITへの対応を行っていくための参考情報となるもの。あくまでも基準ではなく、“ガイダンス”という位置付けであり、強制力を持たない。最終的には、企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査に関する基準」に従うことが求められるが、IT統制を行ううえでは実務上参考になるものといえよう。
IT統制の具体的な対応事例集 金融商品取引法における内部統制報告制度が平成20年4月1日以後開始事業年度から適用される。
企業会計審議会より「財務報告に係る内部統制の評価及び監査に関する基準」および実施基準が公表されており、企業においては、これに基づき内部統制報告制度導入に向けた作業が進められている状況だ。
経済産業省では、すでに情報システムの適正な管理等を目的として、「システム管理基準」および「情報セキュリティ管理基準」を策定しているが、このシステム管理基準等を活用している企業が財務報告に係る内部統制で求められている「ITへの対応」に対して、どのように活用すべきかは不明確である。
このため、今回公表したIT統制ガイダンスは、内部統制報告制度でも基本的要素の1つとなっている「ITへの対応」に焦点を当て、企業がIT統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的な対応事例集をまとめたものとなっている。
IT統制の評価のロードマップを示す IT統制の経営者評価を中心にその概要をみてみると、IT統制については、内部統制の一部として整備・運用することになり、経営者は、一般に公正妥当と認められる内部統制の評価の基準に準拠して、その有効性を自ら評価し、その結果を外部に報告することが求められる。IT統制についても、その一部として評価が必要になるが、今回のIT統制ガイドラインでは、そのロードマップが示されている(下図参照)。
たとえば、①の評価範囲の決定については、連結グループ全体を対象に財務報告の観点からITの全体像を把握する。連結グループのIT環境や利用状況等を理解し、ITの接続概要図、重要なシステム間の連携等の全体像を把握したうえで、財務情報に係るアプリケーション・システムとそれに関係するIT基盤の概要について把握することになる。
評価範囲に決定に際しては、統制活動だけではなく、統制環境、リスクの評価と対応、情報と伝達、モニタリングの基本的要素において、ITが利用されているときには、このようなITも評価の範囲に含めることになる。
②については、財務情報の重要な虚偽記載につながる可能性のある業務を明確化するとともに、業務プロセスに係る内部統制を明確化する。ソフトウェア処理を行うことで数字の改ざんをできなくすることやデータベースを利用することで、権限のない変更ができなくするといったIT統制の強化を行う場合には、新たに不正や改ざんなどのリスクが増える場面の両面に留意することが必要とし、より広範囲なテストの実施等を行うとしている。
④の記録と保存については、財務報告に係る内部統制について作成した記録の保存の範囲・方法・期間は、証憑類との関係を考慮して、企業において適切に判断する。有価証券報告書およびその添付書類の縦覧期間(5年等)を勘案して、それと同程度の期間、適切な範囲および方法(磁気媒体、紙またはフィルム等)により保存することになるが、電子的な記録は、評価後にシステム上の設定の誤りにより上書きまたは削除されてしまう可能性もある。このため、関連する証拠書類の紙への印刷や、上書きできない媒体への保存等が考えられるほか、電子署名等を利用する方法も考えられるとしている。
財務報告に係るIT統制ガイダンスを読み解く 経済産業省は3月30日、「システム管理基準追補版(財務報告に係るIT統制ガイダンス)」(以下、IT統制ガイダンス)を公表した。IT統制ガイダンスは、システム管理基準等を活用している企業が財務報告に係る内部統制で求められているITへの対応を行っていくための参考情報となるもの。あくまでも基準ではなく、“ガイダンス”という位置付けであり、強制力を持たない。最終的には、企業会計審議会が公表した「財務報告に係る内部統制の評価及び監査に関する基準」に従うことが求められるが、IT統制を行ううえでは実務上参考になるものといえよう。
IT統制の具体的な対応事例集 金融商品取引法における内部統制報告制度が平成20年4月1日以後開始事業年度から適用される。
企業会計審議会より「財務報告に係る内部統制の評価及び監査に関する基準」および実施基準が公表されており、企業においては、これに基づき内部統制報告制度導入に向けた作業が進められている状況だ。
経済産業省では、すでに情報システムの適正な管理等を目的として、「システム管理基準」および「情報セキュリティ管理基準」を策定しているが、このシステム管理基準等を活用している企業が財務報告に係る内部統制で求められている「ITへの対応」に対して、どのように活用すべきかは不明確である。
このため、今回公表したIT統制ガイダンスは、内部統制報告制度でも基本的要素の1つとなっている「ITへの対応」に焦点を当て、企業がIT統制をどのように構築し、経営者がその有効性をどのように評価するかについての具体的な対応事例集をまとめたものとなっている。
IT統制の評価のロードマップを示す IT統制の経営者評価を中心にその概要をみてみると、IT統制については、内部統制の一部として整備・運用することになり、経営者は、一般に公正妥当と認められる内部統制の評価の基準に準拠して、その有効性を自ら評価し、その結果を外部に報告することが求められる。IT統制についても、その一部として評価が必要になるが、今回のIT統制ガイドラインでは、そのロードマップが示されている(下図参照)。
たとえば、①の評価範囲の決定については、連結グループ全体を対象に財務報告の観点からITの全体像を把握する。連結グループのIT環境や利用状況等を理解し、ITの接続概要図、重要なシステム間の連携等の全体像を把握したうえで、財務情報に係るアプリケーション・システムとそれに関係するIT基盤の概要について把握することになる。
評価範囲に決定に際しては、統制活動だけではなく、統制環境、リスクの評価と対応、情報と伝達、モニタリングの基本的要素において、ITが利用されているときには、このようなITも評価の範囲に含めることになる。
②については、財務情報の重要な虚偽記載につながる可能性のある業務を明確化するとともに、業務プロセスに係る内部統制を明確化する。ソフトウェア処理を行うことで数字の改ざんをできなくすることやデータベースを利用することで、権限のない変更ができなくするといったIT統制の強化を行う場合には、新たに不正や改ざんなどのリスクが増える場面の両面に留意することが必要とし、より広範囲なテストの実施等を行うとしている。
④の記録と保存については、財務報告に係る内部統制について作成した記録の保存の範囲・方法・期間は、証憑類との関係を考慮して、企業において適切に判断する。有価証券報告書およびその添付書類の縦覧期間(5年等)を勘案して、それと同程度の期間、適切な範囲および方法(磁気媒体、紙またはフィルム等)により保存することになるが、電子的な記録は、評価後にシステム上の設定の誤りにより上書きまたは削除されてしまう可能性もある。このため、関連する証拠書類の紙への印刷や、上書きできない媒体への保存等が考えられるほか、電子署名等を利用する方法も考えられるとしている。
当ページの閲覧には、週刊T&Amasterの年間購読、
及び新日本法規WEB会員のご登録が必要です。
週刊T&Amaster 年間購読
新日本法規WEB会員
試読申し込みをいただくと、「【電子版】T&Amaster最新号1冊」と当データベースが2週間無料でお試しいただけます。
人気記事
人気商品
-
-
団体向け研修会開催を
ご検討の方へ弁護士会、税理士会、法人会ほか団体の研修会をご検討の際は、是非、新日本法規にご相談ください。講師をはじめ、事業に合わせて最適な研修会を企画・提案いたします。
研修会開催支援サービス -
Copyright (C) 2019
SHINNIPPON-HOKI PUBLISHING CO.,LTD.