基準案をそのままコピーするだけのトピ

（６） ＩＴへの対応

ＩＴへの対応とは、組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のＩＴに対し適切に対応することをいう。

ＩＴへの対応は、内部統制の他の基本的要素と必ずしも独立に存在するものではないが、組織の業務内容がＩＴに大きく依存している場合や組織の情報システムがＩＴを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。

ＩＴへの対応は、ＩＴ環境への対応とＩＴの利用及び統制からなる。

これを書いた人はＩＴとは何かと定義したのかな？　外来語や英語の単語って、意味を理解しないで使っているのではないかと想像される状況が結構あるような気がします。まずはＩＴとは何かを明確に示す所から始める必要があるような。。。

① ＩＴ環境への対応

ＩＴ環境とは、組織が活動する上で必然的に関わる内外のＩＴの利用状況のことであり、社会及び市場におけるＩＴの浸透度、組織が行う取引等におけるＩＴの利用状況、及び組織が選択的に依拠している一連の情報システムの状況等をいう。

ＩＴ環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め、それを踏まえた適切な対応を行う必要がある。

ＩＴ環境への対応は、単に統制環境のみに関連づけられるものではなく、個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される。

「内外のＩＴの利用状況」の「外」とは何なのだろう？　これってアウトソーシング先のシステムのことを指しているのかな。。。
「ＩＴの浸透度」とか「ＩＴの利用状況」と来た後で、何で「一連の情報システムの状況」などと、用語の整合性がとれていないんだろう？

「内外のＩＴの利用状況」で始まったのに、何で「ＩＴ環境に対しては、組織目標を達成するために、組織の管理が及ぶ範囲において予め適切な方針と手続を定め」と「外」のことを忘れたような説明になるんだろう。。

「個々の業務プロセスの段階において、内部統制の他の基本的要素と一体となって評価される」だったら、各業務プロセスで重要とされるApplication Controlをプロセス内で評価するということよね。。。だとしたら、ITGC とITACがごちゃごちゃにされているようで意味がわかりません。

② ＩＴの利用及び統制

ＩＴの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにＩＴを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているＩＴに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。

ＩＴの利用及び統制は、内部統制の他の基本的要素と密接不可分の関係を有しており、これらと一体となって評価される。また、ＩＴの利用及び統制は、導入されているＩＴの利便性とともにその脆弱性及び業務に与える影響の重要性等を十分に勘案した上で、評価されることになる。

「内部統制の他の基本的要素の有効性を確保するためにＩＴを有効かつ効率的に利用すること」って、これは経営者が人的なコントロールに比重を置いた形で内部統制を全社的に構築すると決めているのであれば、内部統制の有効性を評価するという本来の目標に対して、横やりを入れていることにならないのだろうか。。。

例えば責務の分掌を頭数の関係で教科書通りに構築できなかった場合、独立した立場にある人がレビューするという人的なコントロールを導入することになると思うのだけど、そういうことを基準案を書いた人たちは考えたのかな。。。

こうしてゆっくりと読み直すと、公開されるまでに十分な検討があったのか疑問に思えるような変な所が多いですね、所謂J-SOXの基準案って。。。

（注） 財務報告の信頼性に関しては、ＩＴを度外視しては考えることのできない今日の企業環境を前提に、財務報告プロセスに重要な影響を及ぼすＩＴ環境への対応及び財務報告プロセス自体に組み込まれたＩＴの利用及び統制を適切に考慮し、財務報告の信頼性を担保するために必要な内部統制の基本的要素を整備することが必要になる。

例えば、統制活動について見ると、企業内全体にわたる情報処理システムが財務報告に係るデータを適切に収集し処理するプロセスとなっていることを確保すること、あるいは、各業務領域において利用されるコンピュータ等のデータが適切に収集、処理され、財務報告に反映されるプロセスとなっていることを確保すること等が挙げられる。