顧客からの要望があって,J-SOX運用におけるIT統制の適用範囲について調査してみたのですが,金融庁にFAQでまとめられた資料がありました.
つい先日の6月24日,新たにFAQが追加されたものがあります.
「内部統制報告制度に関するQ&A」の追加について 抜粋的なものになっていますが,IT統制の適用範囲等で,最近の内部統制コンサルタントがキャッチーな売り文句としている部分について抜粋してみました.
1.適用範囲は,財務報告に係る内部統制に関連するシステム
2.「全てのメールデータの保存」は求められていないが,財務報告に関するものは作成した事を記録しておく必要がある.
3.いわゆる「3点セット」は必ず作成が必要な訳ではなく,これまでに作成されているものがあれば代用できる.
とくに,現在業務フローの明確化に関しては,UMLを使って定義を進めようとしているのですが,図表の表現形式に関して,UMLでも良いと思っていたら,そうなってましたね.
ついついテンプレートやサンプルの出来が良くないと,変な方向に解釈されがちなので,うまくリードしていかないと行かないですねぇ.