経済産業省から、システム管理基準追補版(財務報告に係るIT統制ガイダンス)案が出ました。これに対する意見書を2月19日まで求めています。
すべてはまだ読みきれていませんが、かなり詳細に、IT全般統制、IT業務処理統制に関して記載されています。容量は、150ページにもなります。実施基準案を補足するものです。
これによって、IT全般統制の評価方法を変更しなければならない可能性もあります。
エンドユーザコンピューティングに関しても記載されています。
EUCに対しては、何らガイダンス的なものが出ていませんでしたが、今回、
「EUC の特徴は、入力される数式、処理を自動化するマクロ、小規模なプログラムの入力、作成や保守が情報システム部門ではなく、ユーザ部門により行われることである。EUC を利用する場合も、改ざんやエラーに対する適切な統制機能がなければ、その結果として得られる財務情報は信頼できるものとならない。」
としています。
表計算ソフトで、計算した結果を元に処理が行われている場合、計算式、マクロが正確か...
第三者に計算結果をチェックしてもらっているか...
計算式、マクロを改ざんできないようにシートを保護しているか...
などを考慮しながら、利用方法を決定するとあります。
財務諸表作成プロセスでは、表計算ソフトが大いに利用され、上記のようなリスクがありますが、それ以外のプロセスでは、基幹システムの補助的な使用方法が大半だと思います。
EUCに対してここまで求めるか...と言うのが私の率直な感想です。
コメントする