本書の内容紹介

第1部

内部統制時代におけるITマネジメントの重要性

第1章	なぜ、内部統制が必要なのか

第1節 内部統制、内部統制システムとはなにか

第2節 企業不祥事に対して消費者・社会は厳しい

第3節 なぜ、内部統制が必要なのか

第4節 内部統制の構築・運用は経営トップの責任である

第2章	企業を取り巻く経営環境が急激に変化している

第1節 日本経済が構造的に変化している

第2節 労働環境も変化している

第3節 日本全体がグローバル化している

第3章	会社法及び日本版SOX法で内部統制が義務付けられた

第1節 会社法及び日本版SOX法の内部統制の比較

第2節 会社法では法令遵守体制の構築を求めている

第3節 日本版SOX法は正しい決算書作成のための内部統制を求めている

第4節 内部統制に関するCOSO報告書

第4章	内部統制とITの活用は企業経営の基盤である

第1節 内部統制の実現にはITの活用が不可欠である

第2節 内部統制時代におけるITマネジメントの重要性

第2部

内部統制及び管理に関する規程事例集

第1章	全社レベルの内部統制に関するモデル規程

第1節 内部統制システム構築・運用規程

●解説

●取締役会は「内部統制システム構築の基本方針」の決議をしなければならない

●決議した内部統制システムが不十分な場合は損害賠償責任を問われる

●決議した内部統制システムが遵守されていない場合も損害賠償責任を負う

第2節 財務報告に係る内部統制の整備・運用規程

●解説

●2009年3月期決算から内部統制報告書提出が義務付けられる

●財務報告に係る内部統制の構築

●社長は「内部統制報告書」を公表しなければならない

●監査人は社長の「内部統制報告書」を監査する

●日本版SOX法では罰則が強化された

●自社に合った内部統制システム構築に取り組む

第3節 取締役会規則

●解説

●取締役会は社長の業務執行を監督する企業統治の中心である

●取締役会での「内部統制システム構築の基本方針」決議が義務付けられた

●役員は会社に対して損害賠償責任を負う

●敵対的買収防衛策を議決できる

●取締役会の書面決議（電子メールを含む）が認められた

第4節 行動規範（コンプライアンス・プログラム）

●解説

●内部統制は法令遵守（コンプライアンス）が基本である

●コンプライアンス経営は攻めの経営戦略である

第5節 監査役監査基準

●解説

●監査役は取締役の業務執行を監査する

●内部統制システムの構築・整備を監視し必要な助言を行う

●（社）日本監査役協会が「監査役監査基準」を改定した

●企業会計審議会も会計監査人の「監査基準」を改定した

第6節 内部統制システム監査の実施基準

●解説

●「内部統制システム監査の実施基準」は監査役の行動指針である

●内部統制システムの不備に対処しない場合は監査報告で指摘する

●法令遵守・損失危機管理のリスクについても監査する

●財務報告に係る内部統制の整備・運用状況についても監査する

第7節 経営リスクマネジメント規程

●解説

●内部統制の要諦はリスク管理である

●経営リスクマネジメントは経営リスク低減の組織活動である

●経営リスクマネジメントシステム管理責任者を任命する

第8節 緊急時対応規程

●解説

●経済産業省が「中小企業BCP策定運用指針」を発表した

●緊急時対応には初期調査・初期情報が重要だ

●消費者・一般市民の立場を考慮した対応をとる

第2章	全社レベルの管理に関するモデル規程

第1節 業務規程総則

●解説

●規程は業務遂行の基本ルールであり、業務標準化の成果である

●規程を定期的に見直し業務実態と一致させる

第2節 業務分掌規程

●解説

●各部門は分掌する業務を確実に処理する

●組織変更時には、業務分掌規程を改定する

第3節 就業規則と服務規律細則（誓約書）

●解説

●増大する情報システムリスクに対応した就業規則を作ろう

●改正労働基準法は就業規則に「解雇の事由」の記載を規定した

●就業規則は労働基準法によって作成が義務付けられている

●服務規律細則（退職従業員の誓約書）

第4節 文書管理規程

●解説

●内部統制時代には文書管理が重要である

●紙媒体の文書に加えてIT時代では電子情報の管理が重要である

●情報流出を防止することが企業の義務である

●電子情報の授受・複製・廃棄を適切に管理しなければならない

第5節 個人情報保護管理規程

●解説

●政府は「個人情報の保護に関する基本方針」を公表した

●最近の個人情報流出に対する司法判決は厳しくなっている

●「個人情報保護管理規程」の制定・実施が有効な対策である

●JISQ15001-2006「個人情報保護マネジメントシステムー要求事項」

第6節 機密情報管理規程

●解説

●金型メーカーの図面が海外に流出している

●不正競争防止法が大幅に改正された

●営業秘密とは、「秘密管理性」「有用性」「非公知性」を満たしている情報をいう

●法的保護を受けられるように営業秘密の管理を強化する

第3部

ITマネジメントに関する規程モデル事例集

第1章	内部統制時代の情報システム部に期待される役割

第1節 内部統制システムの構築・運用を支援する

1. 「ITへの対応」は内部統制の基本的要素の一つである

2. 全体最適な情報システムを構築する

3. 情報セキュリティ機能を高める

第2節 情報システムに関する戦略的企画機能を強化する

1. 経営戦略と一体化した情報戦略を推進する

2. 情報システムを活用して経営革新・業務改革を推進する

3. 情報化の成果を利用者に開示する

第3節 情報システムリスクマネジメント機能を強化する

1. 情報システムリスクの最新情報・状況を分析する

2. 情報システムリスクの対応策を経営トップに提言する

3. 情報セキュリティポリシーの実践を推進する

4. 情報システム、情報セキュリティに関する教育を実施する

第4節 最新ITを活用しシステム開発のQCDを改善する

1. 情報化投資の費用対効果を極大化する

2. 情報システム投資額の軽減を図る

3. 情報システム開発のスピードが企業経営に重大な影響を及ぼす

4. 集中と選択により重点開発プロジェクトに特化する

5. 情報システム開発の標準化、モジュール化を進める

第5節 情報システム活用促進と情報リテラシー向上を支援する

1. 利用者の情報システム利用を促進するために教育・支援する

2. 中高年齢者のパソコンアレルギー解消を支援する

3. 各種情報サービスを提供する

4. EUC（エンドユーザー・コンピューティング）を支援する

第2章	全社レベルのITマネジメントに関するモデル規程

第1節 情報戦略策定規程

●解説

●情報システムが内部統制システムの構築・運用を支援する

●情報戦略は情報システム全体の基本理念である

●情報システムの基本方針を明確にする

●システム技術を採り入れ情報システムの標準化を図る

●情報セキュリティ対策を策定する

第2節 情報システム監査基準

●解説

●情報システムのリスクコントロールの整備・運用を監査する

●一般基準

●実施基準（全般）

●実施基準（情報戦略）

●実施基準（企画業務）

●実施基準（開発業務）

●実施基準（運用業務）

●実施基準（保守業務）

●実施基準（共通業務）

●報告基準

第3節 情報セキュリティポリシー

●解説

●情報セキュリティは適切な管理によって保護すべきである

●情報セキュリティポリシーの位置付けと基本構成

●情報セキュリティポリシーの策定手順

●策定のための組織・体制

●基本方針の策定

●対策基準の策定

第4節 情報セキュリティ監査基準

●解説

●情報セキュリティ監査とシステム監査の関係

●情報セキュリティ監査基準は監査人の行為規範である

●情報セキュリティ監査基準は保証型及び助言型監査に用いられる

●情報セキュリティ監査の専門家の認定制度ができた

第5節 情報システム管理責任者規程

●解説

●情報システム管理責任者は情報システムリスク対策の実施責任を持つ

●「情報システム管理責任者」と「情報セキュリティ最高責任者」との関係

第6節 パソコン管理規程

●解説

●全社的なパソコンの管理が情報セキュリティ確保に必要である

第7節 アクセス管理規程

●解説

●利用者のパスワード管理がアクセス管理の第一歩

●アクセス権のライフサイクル管理が重要だ

第3章	情報システム部の企画・管理に関するモデル規程

第1節 情報化計画策定規程

●解説

●情報化計画は情報システムの具体的な開発計画である

●情報システムの技術方針を明確にする

●情報システムリスクを分析し情報セキュリティ対策を明確にする

●情報化計画の効果を評価する

●開発情報システムを比較検討し優先順位を付ける

●計画を定期的に及び経営環境変化に対応して見直す

第2節 情報システム投資計画策定規程

●解説

●情報システムのライフサイクル全体の投資を対象とする

●情報システム投資計画の内容は投資案件によって変わる

●システム構成で投資計画が決まる

●投資効果を予測する

第3節 情報システム要員管理規程

●解説

●情報システムに携わる要員管理が重要である

●社内で働くアウトソーサーの要員管理も重要である

第4節 情報システム要員教育計画規程

●解説

●要員には知識、技術のほか総合力や協調性が期待される

●機能別教育により高度な技術力を持った良識ある企業人を育成する

●経済産業省は「高度情報化人材育成カリキュラム」を定めている

第4章	情報システム部の開発に関するモデル規程

第1節 開発業務は情報システム部の主幹業務である

●解説

●情報システム部の開発業務の位置付け

●開発業務は情報システム部の主幹業務である

第2節 情報システム開発プロジェクト管理規程

●解説

●プロジェクト・チームによるシステム開発は代表的な方法である

●「個別情報化計画」に定められている個別情報システムを開発する

●プロジェクト・メンバーも協働してプロジェクトを完成する

●プロジェクト期間中の機密保護も重要である

第3節 情報システム基本設計規程

●解説

●基本設計は開発システムの概要を明らかにする

●要求定義書の要求を満足する性能を設計する

●基本設計には情報セキュリティ対策を考慮する

第4節 パッケージソフトウェア利用規程

●解説

●自社の経営戦略に適したパッケージソフトを利用する

●パッケージソフトの機能の確認が大事だ

●提供サービスの種類、体制を確認する

第5節 情報システム詳細設計規程

●解説

●詳細設計書はプログラミングの作業指示書となる

●基本設計書との整合性を確認する

●基本設計書の修正は設計内容変更依頼書で提案する

第6節 プログラミング規程

●解説

●プログラミング作業では標準化が重要である

●設計上のミスを見つけても勝手な判断をしてはいけない

●プログラミング作業をアウトソーシングする企業も多い

第7節 情報システムテスト規程

●解説

●システムテストが情報システムの品質を決める

●不具合発生時の対処方法が大事だ

●システムテスト結果を規程に従い保存及び廃棄する

第8節 情報システム移行規程

●解説

●移行計画に従った作業の実施と責任体制を確立する

●移行完了を検証し移行完了報告書をまとめる

第9節 情報システム進捗管理規程

●解説

●まず現状の進行状況を把握する

●次に計画と対比し遅速を把握する

●遅延対策を講ずる

第5章	情報システム部の運用・保守に関するモデル規程

第1節 情報システム運用管理規程

●解説

●分散処理システムではユーザー部門の運用実務が増える

●ヒューマンエラーを最小にするために運用のルールを守る

●運用管理の徹底により情報システムの稼働率を高める

●外部とのデータ交換の際には情報システムリスクに注意する

第2節 情報システム構成管理規程

●解説

●管理台帳は情報システム機器の適切な維持管理に必要である

●情報システム機器の導入または変更は周囲への影響を及ぼす

●障害発生防止策と早期復旧対策を準備する

第3節 情報システム設備管理規程

●解説

●建物への入退管理が情報セキュリティ対策の基本である

●電源設備等関連施設の障害対策が不可欠である

第4節 ソフトウェア保守管理規程

●解説

●保守業務は標準的な流れに従って実施する

●保守の引継ぎはドキュメントの完備が条件である

●多様な要求に対応するため保守業務をスケジュール化する

第6章	情報システム部のユーザー支援に関するモデル規程

第1節 情報システム開発依頼規程

●解説

●ユーザー部門は開発依頼書で情報システム部へ開発依頼する

●開発依頼書をユーザー部門とのコミュニケーションに活用する

第2節 情報システム開発規程

●解説

●ユーザー部門との強調が大切である

●要求定義書をユーザー部門と協力してまとめる

●引受けた開発依頼は日限通り完成させる

第3節 利用部門システム開発管理規程

●解説

●EUCが属人的な部分最適なシステムにならないよう注意する

●会社の情報システム開発のルールに従って開発する

●情報システム部はEUCを積極的に支援する

第4節 情報リテラシー教育計画策定規程

●解説

●短期的及び中期的な教育目標を明確にする

●情報セキュリティ教育も大切だ

第7章	情報システム部のアウトソーシングに関するモデル規程

第1節 アウトソーシング管理規程

●解説

●情報システムのアウトソーシングが増えている

●情報システム関係でも「偽装請負」が問題になっている

●戦略的なアウトソーシングに取り組む

第1節 アウトソーシング基本契約書

●解説

●「偽装請負」対策を盛り込む

●プログラム著作権は原則的にアウトソーサーに帰属する

第3節 秘密保持契約書と受託企業従業員の誓約書

●解説

●業務委託する場合には、「秘密保持契約書」を結ぶ

●受託企業の従業員に誓約書を提出させる