日本版SOX法 実施基準HTML版[IT関連部分](8/9 ページ)
7. 「ITに係わる全般統制」の概要とその評価
p.52
財務報告に係る内部統制の評価及び監査に関する実施基準
I. 内部統制の基本的枠組み
2. 内部統制の基本的要素
(6)IT(情報技術)への対応
[2] ITの利用及び統制
〔ITの統制〕
ロ.ITの統制の構築
a.ITに係る全般統制
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。ITに係る全般統制の具体例としては、以下のような項目が挙げられる。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
ITを利用した情報システムにおいては、一旦適切な内部統制(業務処理統制)を組み込めば、意図的に手を加えない限り継続して機能する性質を有しているが、例えば、その後のシステムの変更の段階で必要な内部統制が組み込まれなかったり、プログラムに不正な改ざんや不正なアクセスが行われるなど、全般統制が有効に機能しない場合には、適切な内部統制(業務処理統制)を組み込んだとしても、その有効性が保証されなくなる可能性がある。
こうした問題に対応していくためには、例えば、
[1] システムの開発又は変更に際して、当該システムの開発又は変更が既存のシステムと整合性を保っていることを十分に検討するとともに、開発・変更の過程等の記録を適切に保存する
[2] プログラムの不正な使用、改ざん等を防止するために、システムへのアクセス管理に関して適切な対策を講じる
など、全般的な統制活動を適切に整備することが重要となる。
ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになる。例えば、購買、販売、流通の3つの業務管理システムが1つのホスト・コンピュータで集中管理されており、すべて同一のIT基盤の上で稼動している場合、当該IT基盤に対する有効な全般統制を構築することにより、3つの業務に係る情報の信頼性を高めることが期待できる。
一方、3つの業務管理システムがそれぞれ異なるIT基盤の上で稼働している場合には、それぞれのIT基盤を管理する部門、運用方法等が異なっていることが考えられ、それぞれのIT基盤ごとに全般統制を構築することが必要となる。
p.81
財務報告に係る内部統制の評価及び監査の基準
II. 財務報告に係る内部統制の評価及び報告
3. 財務報告に係る内部統制の評価の方法
(3)業務プロセスに係る内部統制の評価
[5]ITを利用した内部統制の評価
ニ. ITを利用した内部統制の整備状況及び運用状況の有効性の評価
a.ITに係る全般統制の評価
経営者は、ITに係る全般統制が、例えば、次のような点において有効に整備及び運用されているか評価する。
- システムの開発、保守
- システムの運用・管理
- 内外からのアクセス管理などのシステムの安全性の確保
- 外部委託に関する契約の管理
内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価に当たっては、経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制の運用状況の評価を実施するが、業務処理統制の運用状況の評価の実施範囲を拡大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。
p.85
3. 財務報告に係る内部統制の評価の方法
(4)内部統制の有効性の判断
[3] ITに係る内部統制の有効性の判断
イ.ITに係る全般統制に不備がある場合
ITに係る全般統制に不備がある場合には、代替的又は補完的な他の内部統制により、財務報告の信頼性という目的が達成されているかを検討する。
ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接に繋がるものではないため、直ちに重要な欠陥と評価されるものではない。しかし、ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなる。
この項のサマリー(編集部)
「ITに係る全般統制」とは、「システムの開発、保守に係る管理「システムの運用・管理」「内外からのアクセス管理などシステムの安全性の確保」「外部委託に関する契約」など、管理業務処理統制が有効に機能する環境を保証するための統制活動を意味する。
ITに係る全般統制は、通常、業務を管理するシステムを支援するIT基盤(ハードウェア、ソフトウェア、ネットワークなど)を単位として構築する。
「ITに係る全般統制」に不備がある場合には、代替的または補完的なほかの内部統制により、財務報告の信頼性という目的が達成されているかを検討する。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- CVSSは「10.0」 ReactとNext.jsにリモートコード実行の脆弱性
- AWS、UIを操作するAIエージェントを提供開始 安定動作や統合性をどう実現した?
- 企業の半数以上がインシデントを経験 年末年始に潜むサプライチェーン攻撃の脅威
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- “AIエージェントの次”のトレンドは何か Gartnerが描く未来志向型インフラのハイプ・サイクル
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- 日本企業のフィジカルAI実装は進むか ソフトバンクと安川電機が協業
ITmediaはアイティメディア株式会社の登録商標です。