« JIPDEC プライバシーマークプライバシーマーク制度における欠格性の判断基準の設定と運用について | Main | 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム »

2006.04.03

米国では、全般統制と業務処理統制は30年以上前から言われている

 こんにちは、丸山満彦です。昔の米国公認会計士協会の監査基準書(Statement on Auditing Standards。以下、SASと言います。)を読んでいます。1974年に発行されたSAS3号"Effects of EDP on Evaluation of Internal Control"にすでにGeneral controlsと、Application controlsの話があります。

 
EDPという言葉も懐かしいですね。EDPは、"Electronic Data Processing"の略ですね。
 
■Statement on Auditing Standards No.3 "Effects of EDP on Evaluation of Internal Control", 1974

=====
EDP Accounting Control Procedures

6.

Some EDP accounting control procedures relate to all EDP activities (general controls) and some relate to a specific accounting task, such as preparation of account listings or payrolls (application controls).

7.

General controls comprise
(a) the plan of organization and operation of the EDP activity,
(b) the procedures for documenting, reviewing, testing and approving systems or programs and changes thereto,
(c) controls built into the equipment by the manufacturer (commonly referred to as “hardware controls”),
(d) controls over access to equipment and data files, and
(e) other data and procedural controls affecting overall EDP operations. 
Weakness in general controls often have pervasive effects.  When general controls are weak or absent, the auditor should consider the effect of such weakness or absence in the evaluation of application controls.

8.

Application controls relate to specific tasks performed by EDP.  Their function is to provide reasonable assurance that the recording, processing, and reporting of data are properly performed.  There is considerable choice in the particular procedures and records used to effect application controls.  Application controls often are categorized as “input controls”, “processing controls”, and “output controls.”

 

a.

Input controls are designed to provide reasonable assurance that data received for processing by EDP have been properly authorized, converted into machine sensible form and identified, and that data (including data transmitted over communication lines) have not been lost, suppressed, added, duplicated, or otherwise improperly changed.  Input controls include controls that relate to rejection, correction, and resubmission of data that were initially incorrect.

 

b.

Processing controls are designed to provide reasonable assurance that electronic data processing has been performed as intended for the particular application; i.e., that all transactions are processed as authorized, that no authorized transactions are omitted, and that no unauthorized transactions are added.

 

c.

Output controls are designed to assurance the accuracy of the processing result (such as account listings or displays, reports, magnetic files, invoices, or disbursement checks) and to assure that only authorized personnel receive the output.

9.

EDP accounting control procedures may be performed within an EDP organization, a user department, or a separate control group.  The department or unit in which accounting control procedures are performed is less significant than the performance of the procedures by persons having no incompatible functions for accounting control purposes and the effectiveness of the procedures.

=====
日本の基準
=====
監査基準委員会報告第29号「企業とその環境の理解及び重要な虚偽表示リスクの評価」

88 全般統制は、多くのアプリケーションに関係する方針と手続であり、情報システムの継続的かつ適切な運用を確保することにより、業務処理統制が効果的に機能するよう維持する。情報の正確性、網羅性及び適時性並びに情報のセキュリティを保持するための全般統制には、通常、以下の項目に対する内部統制が含まれる。
・ データ・センターとネットワーク運営
・ システム・ソフトウェアの取得、変更及び保守
・ アクセス・コントロール
・ アプリケーション・システムの取得、開発及び保守
これらは一般的に、第57 項に記載しているIT特有のリスクに対処するために導入されている。

89. 業務処理統制は、典型的には業務プロセスにおいて適用される手続であり、手作業による場合とプログラムに組み込まれて自動化されている場合とがある。
業務処理統制は防止的、発見的のいずれの種類もあり、会計記録が正確で網羅的な情報を適時に把握していることを確保するためにデザインされるものである。したがって、業務処理統制は、取引やその他の財務情報の開始から記録、処理、報告に至るまでの手続に関係し、発生した取引が承認され、網羅的かつ正確に記録・処理されることを担保する。例えば、入力データの正確性を担保するエディット・チェック、データ入力時に行われる連番検査における手作業での例外申請書の追跡調査や修正によるものがある。
=====

=====
COSOの内部統制についての報告書では、
=====
情報システムに対する統制活動は、大きく、2つの範疇にわけることができる。
第1の範疇は、全般的統制である。それは、すべてのアプリケーション・システムに適用されるわけではないが、多くのアプリケーション・システムに適用され、また、それらが継続的に、かつ、適切に機能していることを保証するのに役立っている。
第2の範疇は、アプリケーション・コントロールであり、それは、さまざまなトランザクション処理を統制するためのアプリケーション・ソフトウェア内に組み込まれたコンピュータ化された手順と関連の手作業による手続きを含んでいる。全般的統制とアプリケーソン・コントロールは、情報システムにおける財務情報およびその他の情報の完全性、正確性および有効性を保証するため、一体となって役立っている。
=====

=====
金融庁の公開草案では、
=====
① 全般統制
 ITを利用した全般統制とは、ITを利用した業務処理統制が有効に機能する環境を保証する間接的な統制をいう。全般統制は、通常、ハードウェアやネットワークの運用管理、ソフトウェアの開発、変更、運用並びに保守、アクセス・セキュリティ及びアプリケーション・システムの取得、開発並びに保守に対する統制を含むものである。

② 業務処理統制
 ITを利用した業務処理統制とは、個々のアプリケーション・システムにおいて、承認された取引がすべて正確に処理され、記録されることを確保する、コンピュータ・プログラムに組み込まれた統制をいう。

③ 全般統制と業務処理統制との関係
全般統制は、業務処理統制の機能を継続的に支援する。また、全般統制と業務処理統制は、完全かつ正確な情報の処理を確保するために一体となって機能する。
=====

今とほとんどかわらないね・・・

|

« JIPDEC プライバシーマークプライバシーマーク制度における欠格性の判断基準の設定と運用について | Main | 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 米国では、全般統制と業務処理統制は30年以上前から言われている:

« JIPDEC プライバシーマークプライバシーマーク制度における欠格性の判断基準の設定と運用について | Main | 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム »