内部統制報告制度(J-SOX)の見直し_ITに係る全般統制の例示
ITに係る全般統制の評価の省力化のポイント
ITに係る全般統制の運用評価についてはローテーションが可
ITに係る全般統制とは
ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動であり、その方針と手続を意味します。
IT全般統制という基盤の上に、IT業務処理統制がのっているイメージになります。IT情報システムにおいては、IT業務処理統制が情報の蓄積や加工、伝達といった直接的な機能の有効性を保証しますが、そのIT業務処理統制が有効に機能するための土台を有効に機能させるのがIT全般統制となります。
具体的には、IT情報システムを導入構築する際の開発についての管理手続やルール、導入後の保守・運用についての管理手続やルール、システム変更時の管理手続やルール、無用な改ざんや漏洩を防ぐアクセス制限の方法やルール、外部委託の場合の外部委託先への監視等がIT全般統制として挙げられます。
大きくとらえると、IT全般統制とは、各IT情報システムが正常に機能しないリスクを防止するための管理手続やルールと言えます。IT全般統制は、自動で機能するものというより、自動で機能させるための手作業やルールというものが多いです。
ITに係る全般統制の例示
ITに係る全般統制を評価するには、具体的にどういったものがあり、どうあるべきかということから捉える方が分かりやすいです。以下に「~べき」として例示しています。
a.システムの開発、変更・保守
監査人は、新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか確認する。
社内承認を得ているべき
開発目的や開発過程が記録されており、モニタリングされているべき
試験、検収を適切な技能を持った管理者によって行っているべき
開発変更保守についてしっかりとした契約が交わされてるべき
etc
b.システムの運用・管理
監査人は、財務報告に係るシステムの運用・管理の有効性を確認する。
データバックアップや、システム復旧の手順や方法が決まっているべき
障害や故障等が発生した場合、障害内容や状況分析、対応、顛末まで、障害対応記録が適切に取られ上長の承認を得られているべき
ユーザーからのシステム変更のリクエストとその対応についても記録が適切に取られ上長の承認を得られているべき
etc
c.システムの安全性の確保
監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。
IDの付与のルールがあり、実際の権限と一致しているべき
パスワード設定および更新のルールが明確であるべき
不要なシステムや情報へのアクセスが制限されているべき
サーバーがシステム的にも物理的にも保護されているべき
管理者権限等特殊で強力な権限を持つような特権ユーザーの作業内容についてログがとれて見張れるようになっているべき
etc
d.外部委託に関する契約の管理
企業が財務報告に関連して、ITに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。
外部委託の契約が締結されているべき
外部委託の内容が明確になっているべき
外部委託業者の作業結果を社内で検証、検収するべき
etc
ITに係る全般統制の評価
管理者権限をもった特権ユーザーの存在
ネットワークに対するアクア背う制限やセキュリティ
ソフトウェアの改ざんや不備は直接目に見えないから変更記録が必要
といったような、IT情報システムの特徴さえ押さえてしまえば、ルールや方針の有無や管理手続が明確かを評価するという点では、”ITに係る”とはいえ、他の全般統制を評価する際の評価手続きと変わるところはありません。
情報のインプットがあり、それを蓄積するとともに、加工して、情報をアウトプットするという情報システムの機能は、ITを利用してても、ITを利用してなくても変わりはありません。この点を、大きくとらえておけば、必ずしも、IT技術や情報処理技術のエキスパートでなければITに係る全般統制を評価できないというものではありません。
ITに係る全般統制の評価のチェックリストの事例
『内部統制報告制度に関する事例集』に、IT全般統制の整備のためのチェックリストの事例が載っています。最初はこのチェックリストの実施からは始めてもいいと思います。
当方は、京都を中心に個人で活動している公認会計士です。
個人で活動している会計士は珍しいと思います。
興味を持たれましたらメインページもご参照ください。
他にも情報提供しているブログのリンクまとめも載せてます。
メインページ:IPO準備の準備