日本版SOX法 実施基準HTML版[IT関連部分]（3/9 ページ）

[＠IT情報マネジメント編集部，＠IT]

2. 「ITへの対応」の概要

p.15
財務報告に係る内部統制の評価及び監査の基準
Ｉ．内部統制の基本的枠組み
2．内部統制の基本的要素

（6）ITへの対応

　ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のIＴに対し適切に対応することをいう。

　ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。

　ITへの対応は、IT環境への対応とITの利用及び統制からなる。

[1] IT環境への対応

　IT環境とは、組織が活動する上で必然的に関わる内外のITの利用状況のことであり、社会及び市場におけるIＴの浸透度、組織が行う取引等におけるITの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。IT環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。

　IT環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される。

[2] ITの利用及び統制

　ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。

　ITの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ITの利用及び統制は、導入されているITの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになる。

（注）財務報告の信頼性に関しては、ITを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすIT環境への対応及び財務報告プロセス自体に組み込まれたITの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。

---

p.48
財務報告に係る内部統制の評価及び監査に関する実施基準
I. 内部統制の基本的枠組み
2. 内部統制の基本的要素
（6）IT（情報技術）への対応

　ITへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し適切に対応することをいう。

　ITへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がITに大きく依存している場合や組織の情報システムがIＴを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。

　ITへの対応は、IT環境への対応とITの利用及び統制からなる。

　IT環境の飛躍的な進展によってITが組織に深く浸透した現状に照らして、本基準における「I. 内部統制の基本的枠組み」では、「ITへの対応」を基本的要素の1つに加えている。組織の業務内容がITに大きく依存していたり、組織の情報システムがIＴを高度に取り入れている等、現状では多くの組織がIT抜きでは業務を遂行することができなくなっている。ITへの対応を基本的要素に加えたことは、組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない。

---

この項のサマリー（編集部）

　「ITへの対応」は内部統制の基本的要素の1つだが、組織の業務内容がITに大きく依存している場合や組織の情報システムがITを高度に取り入れている場合には、内部統制の有効性に関する判断の規準となる。

　「ITへの対応」は「IT環境への対応」と「ITの利用及び統制」で構成される。「IT環境への対応」は、内外のITの利用状況への対応を意味する。「ITの利用及び統制」とは、「内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させること」をいう。