IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について(METI/経済産業省)
本件の概要 経済産業省では、今般、平成19年12月に公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録」の一部であるプロテクションプロファイルのシナリオ例をモデルケースとして、IT統制のための財務会計パッケージソフトウェアをターゲットとしたプロテクションプロファイルモデルを作成しましたので、公表いたします。 担当 商務情報政策局 情報セキュリティ政策室 公表日 平成20年5月21日(水) 発表資料名 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について(PDF形式:123KB) IT 統制のための財務会計パッケージソフトウェア向け プロテクションプロファイル モデル(PDF形式:514KB) IT 統制のための財務会計パッケージソフトウェア向け プロテクションプロファイル モデル 解説書(PDF形式:320KB) プロ
「内部統制報告制度に関する11の誤解」批判 - koshian_daifuku’s diary
今回のネタは、お笑い、悪ふざけ一切なし。当局にガチンコ勝負を挑むこととする。 以下、金融庁が「誤解」として挙げた11の項目について、一つ一つ、批判的に検証する。 1.米国SOX法と同じか [誤解] 米国の企業改革法(SOX法)のような制度が導入される。 [実際] 米国におけるSOX法に対する批判を踏まえて、制度を設計。 (具体例) ○トップダウン型のリスク・アプローチ 重大な虚偽記載につながるリスクに着眼して、必要な範囲で内部統制を整備・評価(評価する範囲の絞込みに工夫)。 ○内部統制の不備の区分の簡素化 内部統制の不備を「重要な欠陥」と「不備」の2つに簡素化(米国では3つに区分)。 ※ この他にも、負担軽減のために、次頁以下の配慮 「トップダウン型」と言いながら、網羅的なリスク分析を経なければ、何が「重大な虚偽記載につながるリスク」かを識別することは困難。監査人の理解を得るためには、膨大
リスク4:変更管理ができていない
KPMGビジネスアシュアランスの橋本氏は,「記録を残さず,ユーザー部門からの電話1本でシステムを変更しているITエンジニアが少なくない」と指摘する。これは,日本版SOX法対応という観点では大きなリスクと見なされる。 KPMGビジネスアシュアランスの橋本氏は,「記録を残さず,ユーザー部門からの電話1本でシステムを変更しているITエンジニアが少なくない」と指摘する。これは,日本版SOX法対応という観点では大きなリスクと見なされる(末尾の別掲記事参照)。 証拠書類は少ない枚数で 図5●変更管理で利用する申請書のフォーマット例 NECネクサソリューションズが顧客に提供している帳票。1枚の紙で変更管理の正しさを証明できる。自社の米SOX法対応で利用したものを汎用化して作成した [画像のクリックで拡大表示] プログラムを修正するときは,システム検討依頼書,その承認記録,プログラム変更仕様書,テスト記録
ビジネスに差がつく防犯技術(4)内部統制はリスクアプローチを求めている - @IT情報マネジメント
内部統制システムの良しあしを決めるのはリスクの特定だ。そして、リスク特定の方法論であるリスクアプローチを決めることが、内部統制システムでは重要なファクターとなる。 内部統制システムはリスクアプローチが決め手 会社の中で不正や不祥事が起きないようにするためには、内部統制システムの構築が不可欠だ。会社法や日本版SOX法へ対応するために、いままさに内部統制システムを構築中だという企業は多いだろう。 注意すべきことは、内部統制システムの構築の目的は決して、日本版SOX法対応で定番になった3点セット(業務フロー、業務記述書、RCM)を作成することでもなければ、規定類の整備でもない。それは単なる道具であり、一作業にすぎない。 内部統制システムの良しあしを決めるのはリスクの特定であり、そのための方法論がリスクアプローチなのである。 従業員が見もしない社内規定が会社をだめにしている 内部統制システムの構築
SOX法対応でマクロが使用禁止?
現場の知恵生かすツールにも内部統制の網 マクロやスクリプト言語を使って現場がアプリケーションを開発し、業務効率を高める――。そんなExcelやAccess、Lotus/Notesなどが持つ簡易開発の仕組みが自由に使えなくなるかもしれない。日本版SOX法への対応では、Excelなどで開発したシステムも統制の対象になるからだ。現場の生産性向上と内部統制の両立に向けた工夫が必要になる。 「現場で使っているExcelも内部統制の対象になると聞き、急いで対応を進めている。対象になるExcelの漏れがないように、すべての事業部が業務で使っているExcelファイルをすべて洗い出し、精査した」。建機大手コマツでITに関する内部統制を推進する大森良雄主査はこう語る。 コマツは現在、米SOX法に対応するために、社内ITの内部統制の確立を進めている最中。基幹システムを統制するための文書化を先行させていたが、SO
IT統制の実務的参考文書,J-SOX対応の具体例示す
日本版SOX法(J-SOX)の適用年度まで残り3カ月の今、同法が求めるIT統制の整備・運用に向けた参考文書が相次いで登場した。日本公認会計士協会(JICPA)と経済産業省のそれぞれが公表した。いずれも、既存の関連文書と異なり、具体的な記述が多い。 JICPAが11月8日に発表した文書は、「ITにかかる内部統制の枠組み~自動化された業務処理統制等と全般統制~(公開草案)」。わずか9ページの文書だが、IT業務処理統制とIT全般統制について、両者の関係や具体的な統制項目例などを挙げる(図)。 10月には経産省が、「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス)追加付録 公開草案(以下、追加付録)」を発表した。3月末に公表したJ-SOXに向けたIT統制の実務指針「システム管理基準 追補版」を補足する。財務会計パッケージの機能に対する、内部統制を考慮したチェック・シートや、連結・個別
討論 “SOX”は病原菌か福音か:ITpro
「20年を超える記者活動を振り返って,今までに直面した最も面白くないテーマを一つだけ挙げよ」。こう言われたら,ためらうことなく「内部統制報告制度を巡る昨今の動向」と答えたい。人前で話をする機会があると上がってしまうせいもあり,「下らないテーマ」と放言してしまったりする。 内部統制報告制度が日本で話題になり始めた頃から,「形式だけを整える愚かしさ」について何度か書いてきており,本人としては一貫性がある発言をしていると勝手に思っているのだが,講演会の場で詳しい説明もなく「不愉快」とか「下らない」と断定されても,聴衆の方々は面食らうかもしれない。周囲にいる若手記者も,内部統制報告制度を巡る世情を筆者がなぜ嫌悪しているのか,今ひとつ分からないようである。 どこかでまた内部統制報告制度について書かないといけないのか,と思ったものの,なかなか実現しない。同じようなことを二度も三度も書くのは気が進まない
「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」に対する意見募集について
e-Govサイトの全てのページを暗号化することに伴い、URLが「https」から始まる形に変更となりました。「https」から始まるURLへ変更してアクセスください。 e-Govサイト全ページのHTTPS化について 「https」のe-Govのトップページ Due to encrypting all the pages on the e-Gov site, the url was changed to start with "https". Please access to the e-Gov site with "https". e-Gov Top Page with "https"(English)
経産省が日本版SOX法対応の「IT統制ガイダンス」公開 - @IT
2007/01/19 経済産業省は1月19日、日本版SOX法に対応するIT統制のガイドライン「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、IT統制ガイダンス)の公開草案を発表した。金融庁の企業会計審議会内部統制部会が示した日本版SOX法の基準案や実施基準(公開草案)とIT統制との関係を示しながら、IT統制の概要や経営者の評価法、導入ガイダンスなどを例を示して解説する。2月19日まで意見を募集し、その後正式決定する。Webサイトでダウンロードできる。 IT統制を3つに分類 IT統制ガイダンスはIT統制の概要と経営者の評価法を示す理論編、例を示しながら実際の導入法を解説する導入編、リスクコントロールマトリクス(RCM)の例などを示す付録の3構成になっている。加えて、金融庁の実施基準とIT統制ガイダンスとの間で誤解が起きないように用語の定義も冒頭で示している。例えばIT
Excelのスプレッドシートが内部統制を壊す!? - @IT
2007/02/21 「IT統制ガイダンスの特徴はスプレッドシートについて言ってしまったこと。財務諸表を作る上で使われていて、触れざるを得なかった」。ガートナー ジャパンのガートナー リサーチ バイス プレジデントの松原榮一氏は自身が委員として作成に加わった経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス、参考記事)について特徴をこう説明する。ガイダンスは、日本版SOX法に対応するIT統制の基準を示した文書で、エンドユーザーコンピューティングについて言及したことで注目を集めている。 ガイダンスは1月19日に経産省が発表し、2月19日までパブリックコメントを受け付けていた。一般社員がデータを操作するエンドユーザーコンピューティングのリスクについて記述した内容があり、その中でもMicrosoft Excelなどで使うスプレッドシートの統制について指摘している。 IT統制の
IT担当者のための内部統制ガイド(6)日本版SOX法の実施基準に対応するポイントは?
日本版SOX法の実施基準に対応するポイントは?:IT担当者のための内部統制ガイド(6)(1/3 ページ) 約半年遅れの2007年1月31日、金融庁は日本版SOX法のガイドライン「実施基準」修正版を公開し、正式版の内容がほぼ確定した。ガイドラインが公表されたことにより、対象企業はこのガイドラインに沿って対応準備を始めなければならない。今回はこの「実施基準案」を受け止め、「具体的なITの作業に落とし込んでいくべきか?」について考える。 ご存じのとおり、2006年11月21日に待望だった実施基準の公開草案が公開されました。その後、2007年1月31日にパブリックコメントの概要とコメントに対する考え方を部会で協議し、これを踏まえた「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)(案)」が公開されました。これが正式版として
日本版SOX法でプログラム開発に求められるもの
本連載ではこれまで、日本版SOX法対応におけるセキュリティについて解説してきた。今回からは、セキュリティ以外の部分である「プログラム開発」や「プログラム変更」「コンピュータ運用」の3つの領域について説明していく。 本連載ではこれまで、IT全般統制の中でも重要といわれている「セキュリティ」について説明してきました。そして、今回からはセキュリティ以外の部分である、「プログラム開発」や「プログラム変更」「コンピュータ運用」の3つの領域について説明していきます。まず、今回は「プログラム開発」に関して日本版SOX法対応において必要とされることを説明します。 「プログラム開発」と「アプリケーション統制」とは まず、日本版SOX法対応におけるプログラム開発の位置付けを考えてみましょう。日本版SOX法は「財務報告の正確性・信頼性の確保」が目的であり、「現在行っている業務プロセス」と「現在利用しているシステ
日本版SOX法「実施基準」が正式決定へ、31日に内部統制部会 - @IT
2007/01/23 金融庁は1月31日に企業会計審議会 内部統制部会を開催し、昨年11月21日に公開した日本版SOX法の実施基準の公開草案について議論する。集まったパブリックコメントを委員に紹介し、必要があれば修正する。金融庁は「場合によっては委員の承認をいただく」としていて、この場で実施基準の決定版が公表されそうだ。 実施基準は内部統制部会で承認後、企業会計審議会の総会で承認し、正式決定される見通し。
やっぱり、LifeHackは「内部統制」につぶされる - @IT
「つぶされる」認識を新たに 2位には「「LifeHack」が内部統制につぶされる」がランクインしたが、記者は経済産業省が1月19日に公表したIT統制のガイドライン「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(参考記事)を読んで、「やっぱりLifeHackは内部統制につぶされる」と認識を新たにした。 というのもIT統制ガイダンスがエンドユーザーコンピューティング(EUC)を大きく取り上げ、そのコントロールの必要性を説いているからだ。IT統制ガイダンスはEUCを「一般にはスプレッドシート(表計算ソフトで作成した数式、マクロ、プログラム等を含む表)やデータベース管理ソフトが用いられることが多い。EUCの特徴は、入力される数式、処理を自動化するマクロ、小規模なプログラムの入力、作成や保守が情報システム部門ではなく、ユーザー部門により行われることである」と定義している。この定義で
社員35万人、子会社900社の日立グループは内部統制をこう整備した - @IT
2007/01/17 連結従業員数が約35万人、連結子会社が932社(うち海外子会社が456社)という日立製作所グループが内部統制の整備を始めたのは2004年だった。日立製作所が米国ニューヨーク証券取引所に上場しているため、米国SOX法への対応が求められたのだ。日立製作所の監査室 内部統制グループ 上席監査部長で、同社の内部統制プロジェクトを主導する宮永義夫氏はグループ各社のトップのコミットメントを得ることに苦労したといい、「内部統制ができない会社は要らない会社だとまでいって進めた」と振り返った。 PDCA+モニタリングのサイクルで運用 宮永氏は1月17日の「日立 内部統制総合展 2007」で講演した。日立の内部統制プロジェクトの中心にすえたのは「PDCA+Mサイクル」だ。Plan、Do、Check、Actionの通常のサイクルに、モニタリング(監査)を加えた考えで、1年でこのサイクルを回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JICPA IT統制枠組み確定版公表 - XBRLと内部統制、J-SoX
IT Braces for 'J-SOX' Rules - Slashdot
内部統制支援ソリューション「Ci-Tower BPM」新バージョンの出荷開始 - 株式会社ケイ・ジー・ティー
Microsoft Office Visio 内部統制文書化ツールのページへ移動
http://www.jsys-products.com/info/news/press070201.html