5分で絶対に分かるJ-SOX IT統制ガイダンス：5分で絶対に分かる（4/6 ページ）

[鍋野 敬一郎，＠IT]

3分−IT統制ガイダンスの使い方

　「IT統制ガイダンス」の内容は約150ページにも及ぶ詳細なものですので、IT担当者向けの指南書としては、非常に有効な資料であると思います。しかし、IT統制への対応について「実施基準（ガイドライン）」がIT担当者の個々の作業内容まで言及しているわけではありませんので、一般的にはいくつかのIT統制の枠組みを参考にして作業を進める必要があります。

　例えば、IT全般統制の代表的な枠組みには、ITガバナンス協会の「COBIT」があります。財務報告に係るIT統制については、日本公認会計士協会の「IT委員会報告第3号」や、ITガバナンス協会の「IT Control Objectives for SOX 2nd Edition（IT統制目標.V2）」があります。また、ITの運用管理については、英国商務局の「ITIL」などが挙げられます。経産省のIT統制ガイダンスは、こうした枠組みとほかの基準との比較表が示されており、混乱しやすい内容の整理・分類にも有効です（図3）。

図3：システム管理基準とほかの基準との比較表
出所：経済産業省 システム管理基準 追補版（財務報告に係るIT統制ガイダンス（案））
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=Pcm1010&BID=595207003&OBJ

　また、“付録”には、ほぼそのまま利用できる懇切丁寧な文書類の例が説明されています。「実施基準（ガイドライン）」では、いま一つ具体的な成果物イメージがつかめなかったため、「IT担当者の作業内容や作業量の想定ができない」といった声が多かったのですが、IT統制ガイダンスを参考にすれば、対応作業への落とし込みを想定しやすくなると思います。