IT全般統制の監査
IT全般統制の評価項目
ITに係る全般統制は、企業のIT業務処理統制を支援する仕組みや活動であるため、範囲は広く、情報システム部門が行う管理業務の多くの内容が含まれてきます。ITに係る全般統制については、次の4つの評価項目が監査基準委員会報告書に例示されています
@ 情報システムに関する企画・開発・調達業務
A 情報システムに関する運用・管理業務
B セキュリティに関する統制活動
C アウトソーシングに関する統制活動
情報システムに関する企画・開発・調達業務
情報システムの企画・開発・調達に係る業務を対象範囲として、経営者が意図したとおりの情報システムが実現されることを目的とします。
例えば、会計システムを導入する際に、どのようなシステムを導入するかといったことを検討したり、具体的な要件を定めたりしますが、そのような企画活動がこの範囲となります。また、企画した導入予定のシステムを自社内のSEに製造させるのであれば、開発業務が範囲になり、外注するのであれば調達業務が範囲になります。
情報システムに関する運用・管理業務
情報システムの運用・管理に係る業務を対象範囲として、経営者が意図したとおりに情報システムが運用、管理されることを目的としています。
例えば、情報システムの運用スケジュールを規定したり、運用担当者の職務分掌を適切に設定することが含まれます。
セキュリティに関する統制活動
情報システムの安全性に関する事項を対象範囲として、経営者の意図に反して情報システム及び情報が使用され、改ざん・毀損されることを防止し、情報資産を保全することを目的とします。
例えば、情報システムで使用されるユーザIDやパスワードの管理といったことやサーバルームの入室管理の在り方等が挙げられます。
アウトソーシングに関する統制活動
情報システムの外部委託に関する事項を対象範囲として、経営者が意図したとおりに、開発、運用、セキュリティ等が委託業務においてなされることを目的とします。
例えば、外部委託先との間でSLA(サービス・レベル・アグリーメント)を締結したり、外部委託先を評価する活動が挙げられます。
● 関連リンク
