IT統制監査の基礎知識
IT統制とは
IT統制は、企業の内部統制システムの構成要素であり、業務や管理システムを情報技術によって監視・記録・統制し、その健全性を保証する仕組みのことです。
現在、企業の経営管理プロセスや業務プロセスは、コンピュータ・システムに大きく依存しています。これら経営管理プロセスや業務プロセスが有効に機能してているかどうかを監視・統制するには、やはりコンピュータ・システムをうまく利用し、同時にそのコンピュータ・システム自身が有効に運用されているかどうかを監視・統制していく必要があります。これがIT統制を整備・運用する目的になります。
上場企業等においては、IT統制のうち、財務報告の信頼性に係る内部統制について外部監査の対象となっています。これが、いわゆる日本版SOX法(J-SOX)と呼ばれるものです。
したがって、上場企業等については、IT統制が有効に整備して、継続的に運用していく必要があるとともに、監査人に対して、それを説明しなければなりません。。
IT統制の分類
IT統制は、「IT全般統制」と「IT業務処理統制」に分類されます。
IT全般統制は、企業のIT業務処理統制が有効に機能する基盤・環境に係る活動です。IT戦略、企画、開発、運用、保守、およびそれを支える組織、制度、基盤システムに対する統制行為を含みます。さらに細かい個別要素では「設計書のレビュー承認」「ユーザー認証」「ログ監視」「暗号通信」「バックアップ」などが挙げられます。
一方、IT業務処理統制は、個々の業務処理システムにおいてデータの網羅性、正確性、正当性、維持継続性を確保するための統制をいいます。業務システムにおけるデータの入力、処理、出力が正しく行われることが確かであることを保証するためのもので、例えば、「二重入力チェック」「コントロール・トータルチェック」「限度額チェック」などが挙げられます。
IT全般統制
内部統制監査上では、IT全般統制は、「主要な取引、勘定残高、開示等、それらに関連する経営者の主張のほとんどに関係し、企業の自動化された業務処理統制等が、経営者の意図したとおりに整備され、継続的に運用されることを支援する仕組みや活動」とされています。
つまり、ITのインフラや設計・開発工程に対する管理など、情報システム全体に係る活動をいいます。
IT全般統制により、次の効果が期待されます。
@ 取引、勘定残高、開示等における情報の信頼性を確保する。
A ITに係る業務処理統制が、経営者の意図したとおり整備され、継続的に運用されることを間接的に支援する。
つづいて、IT全般統制の監査についてご説明します。
IT業務処理統制
IT業務処理統制は、その性質から次の3つに分類することができます。
@ 自動化された業務処理統制
情報の正確性、網羅性、適時性、正当性等の達成のためにアプリケーション・システムに組み込まれた内部統制のことです。
例えば、入力データの正確性を確かめるために実装されたエディットチェック機能など
A 自動化された会計処理手続
計算、分類、見積、その他会計処理を人間に代わりアプリケーション・システムが行う手続きのことです。
例えば、アプリケーション・システムが行う自動仕訳・自動集計機能のことです。
B 手作業の統制に利用されるシステムから自動生成された情報
情報システムから出力された情報を利用して手作業による統制活動として実施する場合の情報のことです。
例えば、一定の基準を超える取引の集計リスト(一定の売上額を超える取引など)、売掛金の年齢調べのリストなど
引き続き、IT業務処理統制の監査についてご説明します。
● 関連リンク