米国 30年前のIT全般統制の項目
こんにちは、丸山満彦です。以前、米国では30年前からコンピュータ全般統制と業務処理統制という言葉が使われていたという話を載せたことがあります。今回は、1977年に発表された「The Auditor’s Study and Evaluation of Internal Control in EDP systems - The Computer Services Executive Committee - America Institute of Certified Public Accountants 1977」に書かれている全般統制の内容を紹介します。30年まですが、そのほとんどは現在でも非常に参考になると思います。
日本語訳は、
=====
コンピュータ環境下の内部統制監査 米国公認会計士協会 コンピュータ・サービス執行委員会
石原俊彦、林隆敏 訳
1994年 晃洋書房
=====
によっています。石原先生は、私が会計士になった時に仕事を一緒にした先生です。現在は、行政評価の分野で活躍中ですが、当時は監査意見形成論の分野を中心に活躍されておられました。システム監査やCOSOについても石原先生からいろいろと教えていただきました・・・
|
全般統制の分類 |
概要 |
全般統制の内容 |
|
1.組織のコントロールと運用のコントロール |
職務の分離 |
1.EDP部門とユーザー部門の職能の分離 |
|
事前承認 |
2.取引の実行に関する一般的事前承認の規程(EDP部門による取引の生成または事前承認の禁止) |
|
|
EDP職能の分離 |
3.EDP部門内の職能の分離 |
|
|
2.システム開発のコントロールとドキュメンテーション・コントロール |
設計へのユーザーの参加 |
4.ソフトウェア・パッケージの取得を含むシステム設計の手続は、ユーザー部門の代表者や、適当な会計部門と内部監査人の積極的な参加を必要とする。 |
|
ユーザーと経営者・管理職の承認 |
5.各システムには、適切な水準の経営者・管理職および該当するユーザー部門によるレビューと承認を受けた、文書化された仕様書がなければならない。 |
|
|
システム・テスト |
6.システム・テストは、ユーザー部門とEDP部門の従業員の共同作業で行われ、システムの手作業による部分とコンピュータ化された部分の両方を含まなければならない。 |
|
|
最終的承認 |
7.新システムの運用を開始する前に、最終承認が得られなければならない。 |
|
|
変換後のコントロール |
8.マスター・ファイルとトランザクション・ファイルの変換はすべて、事前承認されていない変更を予防し、正確かつ完全な結果を提供するようにコントロールされなければならない。 |
|
|
システム変更のコントロール |
9.新システムの運用が開始された後は、変更が事前承認、テスト、文書化されているかどうかを確かめるために、すべてのプログラム変更が実施前に承認されなけばならない。 |
|
|
文書化基準 |
10.経営者・管理職は、さまざまな水準のドキュメンテーションを要求し、適切な水準の詳細さでシステムを定義するための正式な手続を確立しなければならない。 |
|
|
3.ハードウェア・コントロールとシステム・ソフトウェア・コントロール |
ハードウェア/ソフトウェア・コントロール特徴 |
11.コンピュータ・ハードウェア、オペレーティング・システム、あるいはその他のユーティリティ・ソフトウェアに備わっているコントロール特徴は、運用に関するコントロールを提供し、ハードウェアの誤動作を発見報告するために、最大限可能な範囲で利用されなければならない。 |
|
変更のコントロール |
12.システム・ソフトウェアは、アプリケーション・プログラムの導入と変更に適用される手続と同じコントロール手続に従わなければならない。 |
|
|
4.アクセス・コントロール |
プログラム・ドキュメンテーションへのアクセス |
13.プログラム・ドキュメンテーションへのアクセスは、職務の実行にプログラム・ドキュメンテーションを必要とする従業員に制限されなければならない。 |
|
データ・ファイルとプログラム・ファイルへのアクセス |
14.データ・ファイルとプログラム・ファイルへのアクセスは、個々のシステムを処理または維持することを事前承認された個人に制限されなければならない。 |
|
|
ハードウェアへのアクセス |
15.コンピュータ・ハードウェアへのアクセスは、事前承認された個人に制限されなければならない。 |
|
|
5.データ・コントロールと手続化によるコントロール |
コントロール・グループ |
16.コントロール職能は、処理されるすべてのデータの受領、すべてのデータが記録されることの保証、取引が適切な当事者によって訂正、再提出されることを確かめるための処理中に発見されたエラーの追跡、およびアウトプットの適切な配布の検証のそれぞれについて責任を持たなければならない。 |
|
システム・マニュアルと手続マニュアル |
17.システムや手続の文書マニュアルは、すべてのコンピュータ運用について作成され、取引の処理に対する経営者・管理職による一般的事前承認または個別事前承認を規定しなければならない。 |
|
|
内部監査人nよるシステム設計の検討 |
18.内部監査人または組織内のその他の独立グループは、提案されたシステムを開発の批評段階でレビュー、評価しなければならない。 |
|
|
内部監査人によるEDPのレビュー |
19.内部監査人または組織内のその他の独立グループは、コンピュータ処理活動を継続的にレビュー、テストしなければならない。 |
|
|
物理的セキュリティ |
|
|
Comments