一見良いことずくめのように見えるIT統制ガイダンスなのですが、利用する際の注意点もいくつかあります。
先にも紹介しましたが、IT統制ガイダンスは約150ページにも及ぶ膨大な内容です。まず、中堅中小企業のIT担当者にとって、これだけ詳細な内容に対する作業が物理的に可能であるかという疑問があります。
金融庁が作成した「実施基準」の内容が、米国SOX法のガイドライン(PCAOB作成の監査基準第2号)に比べて簡素である理由として、過剰だといわれている米国SOX法における対応作業の二の舞を避けるため、“経営者を主体とした仕組み構築を目的とし、監査法人との協議を重視している”ことが挙げられています。これは、日本の状況を踏まえ敵対監査に備える重装備な文書化や、対応作業付加を軽減するためと説明されていますが、IT統制ガイダンスはこうした考え方からすると、詳細過ぎるという見方もできます。
また、IT統制ガイダンス第III章IT統制の評価の2.-(4)-2「ITと組織区分の相違について」では、IT基盤が「連結ベースの売上高等に基づく重要な事業拠点」の組織区分とは一致しないケースが説明されています。
つまり、これは重要な事業拠点の対象範囲と、IT統制の必要なアプリケーションシステムの対象範囲が異なることがあり得ることを意味しています。具体的には、売上高に直接関連する販売プロセスにひも付くシステムと、連携する出荷業務を行う物流管理システムやサーバなどを預かるデータセンタなどが該当します(図4)。
Copyright © ITmedia, Inc. All Rights Reserved.