内部統制報告制度(J-SOX)の見直し_ITに係る業務処理統制の例示
ITに係る全般統制の評価の省力化のポイント
過年度の評価結果が利用可
自動統制のサンプルテストは年に1件でいい
ITに係る業務処理統制とは
情報システムにITが利用されている場合は、通常、情報は種々の業務システムで処理、作成され、その情報が会計システムに反映される。こうした業務システムや会計システムによって作成される財務情報の信頼性を確保するための内部統制が必要となる。
この内部統制には、コンピュータ・プログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一体となって機能している内部統制がある。
ITの統制は、全般統制と業務処理統制に分けられ、
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。
ITに係る業務処理統制の例示
IDやパスワードによるアクセス制限
IDによる権限管理(例えば、閲覧権限、入力権限、編集権限、承認権限等)
システムでの承認機能
マスタデータによる入力制限(例えば、単価マスタに登録されている単価しか使えない)
自動計算(例えば、総平均法や最終仕入単価を自動的に算出)
システムによる原価計算
自動転記
システム間のデータ移行の際、移行前と移行後のデータ総件数の照合
異常な数値の入力ができないよう制限されている(例えば、桁を間違えた発注個数入力はできない)
滞留データや年齢表の自動出力
ITに係る業務処理統制の評価
経営者は、評価対象として識別したITに係る業務処理統制が、適切に業務プロセスに組み込まれ、運用されているかを評価する。
具体的には、例えば、次のような点について、業務処理統制が有効に整備及び運用されているかを評価する。
入力情報の完全性、正確性、正当性等が確保されているか。
エラーデータの修正と再処理の機能が確保されているか。
マスタ・データの正確性が確保されているか。
システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。
具体的な評価方法としては
実際にシステムに対して入力を試してしてみたり、マスターや設定管理画面当を閲覧するなどして確かめます。
例えば、以下のような評価手続があげられます。
実際の業務システムや会計システムのIDや権限の設定画面を閲覧させてもらう
会社の方に直接システムを操作してもらい、異常値を入力を試してもらい、異常値の入力ができないことを確認する
会社の方に直接システムを操作してもらい権限設定どおりの制限がかかっているか確認する(できないはずの編集ができないようになっているかなど)
単価×数量を監査人が実際に計算し、システム計算結果と一致しているか計算突合を実施する
入力元のシステムのデータと入力先のシステムのデータを比較照合し、自動転記が漏れなく完了できているか確認する。
会社担当者が実施した上記についてのチェックリストを閲覧することにより間接的に評価することもできます。
※画面のプリントスクリーンなどをコピーし、評価の過程の証拠を見せられるようにしておくことが必要です。
ITに係る業務処理統制の評価のポイント
まずは、ITシステムに係る内部統制にどのようなものがあるか、例示を覚えること。
後は、インプット、蓄積、加工、アウトプットという情報処理のプロセスを阻害するものが無いかという、通常の業務処理統制を評価するときと同じ観点でみれば、問題はありません。
当方は、京都を中心に個人で活動している公認会計士です。
個人で活動している会計士は珍しいと思います。
興味を持たれましたらメインページもご参照ください。
他にも情報提供しているブログのリンクまとめも載せてます。
メインページ:IPO準備の準備