« 米国 30年前のIT全般統制の項目 | Main | RSA Conference Japan 2006 始まっています »

2006.04.25

米国 30年前のIT適用業務処理統制の項目

 こんにちは、丸山満彦です。今回は、1977年に発表された「The Auditor’s Study and Evaluation of Internal Control in EDP systems - The Computer Services Executive Committee - America Institute of Certified Public Accountants 1977」に書かれているIT適用業務処理統制の内容を紹介します。30年まですが、そのほとんどは現在でも非常に参考になると思います。
 日本語訳は、今回も
=====
コンピュータ環境下の内部統制監査 米国公認会計士協会 コンピュータ・サービス執行委員会
石原俊彦、林隆敏 訳
1994年 晃洋書房
=====
によっています。

 
 適用業務処理統制には、
(1)インプット・コントロール
(2)処理コントロール
(3)アウトプット・コントロール

があるとしています。

=====
(1)インプット・コントロール
「インプット・コントロールは、EDPによる処理のために受け入れられたデータが適正に事前承認され、機会が感知できる形式に変換、識別されるという合理的保証と、データ(通信回線を通じて送信されたデータを含む)の喪失、棄却、追加、重複が存在せず、その他にも不適切な変更はないという合理的保証を提供するように設計される。インプット・コントロールには、初めから不正確なデータの拒絶、訂正、再提出に関連するコントロールを含む。」(SAS31号1980.08)

コントロールされるインプットには、4つの基本的カテゴリーがある。
(略)
コントロールされるインプット
 1.取引の入力
 2.ファイル保守取引
 3.照会取引
 4.エラー訂正取引

=====
(2)処理コントロール
「処理コントロールは、電子データ処理が特定の適用業務について意図されたとおりに実行されているという合理的保証、すなわち、すべての取引は事前承認にしたがって処理され、事前承認された取引は省略されず、そして、事前承認されていない取引は追加されないという合理的保証を提供するように設計される。」(SAS3号 para.8b)

 一般にアプリケーション・プログラムに含まれる処理コントロールは、次の種類のエラーを予防または発見するように設計される。
1.すべてのインプット取引の処理の失敗、または同じインプットの1回以上の間違った処理
2.1つまたは複数の不正なファイルの処理および更新
3.非論理的なインプットまたは非合理的なインプットの処理
4.処理におけるデータの喪失あるいは歪曲

=====
(3)アウトプット・コントロール
「アウトプット・コントロールは、(会計リストやディスプレイ、報告書、磁気ファイル、送り状、あるいは支払小切手のような)処理結果の正確性と、事前承認された従業員のみがアウトプットを受領することを保証するように設計される。」(SAS3号 para.8c)

 基本的なアウトプット・コントロールは、残高照会、視覚的な走査や検証、および配布である。コントロールされなければならないアウトプットには、機械が感知できるファイルと、報告書、一覧表またはその他の媒体(印刷されたもの、端末装置に表示されたもの、またはマイクロフィルに記録されたもの)の2つのカテゴリーがある。

業務処理統制

概要

業務処理統制の内容

インプット・コントロール

事前承認されたインプット

1.適切に事前承認、承認され、かつ経営者・管理職による一般的な事前承認または個別的な事前承認にしたがって作成されたインプットのみが、EDPによる処理のために受領されなければならない。

コードの検証

2.システムは、データを記録するために使用されるすべての重要なコードを検証しなければならない。

インプットの変換

3.機械が感知できる形式へのデータの変換は、コントロールされなければならない。

データの移動

4.ある処理段階から他の処理段階へのデータの移動や、部門間のデータの移動は、コントロールされなければならない。

エラー処理

5.適用業務システムによって発見されたすべてのエラーの訂正と、訂正された取引の再提出は、レビュー、コントロールされなければならない。

処理コントロール

コントロール・トータル

6.コントロール・トータルが作成され、インプット・コントロール・トータルと調整されなければならない。

運用のコントロール

7.処理コントロールは、不正なファイルの処理を予防し、ファイル操作のエラーを発見し、オペレータが引き起こしたエラーを明らかにしなければならない。

論理チェック

8.リミット・チェックと合理性チェックがプログラムに組み込まれなければならない。

ラン・トゥー・ラン・コントロール

9.ラン・トゥー・ラン・コントロールは、処理サイクルの適切なポイントで検証されなければならない。

アウトプット・コントロール

アウトプットの調整

10.アウトプット・コントロール・トータルは、インプット・コントロールおよび処理コントロールと調整されなければならない。

アウトプットの走査

11.アウトプットは、原始書類との比較によって走査、テストされなければならない。

アウトプットの配布

12.システムのアウトプットは、事前承認されたユーザーにのみ配布されなければならない。

|

« 米国 30年前のIT全般統制の項目 | Main | RSA Conference Japan 2006 始まっています »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 米国 30年前のIT適用業務処理統制の項目:

« 米国 30年前のIT全般統制の項目 | Main | RSA Conference Japan 2006 始まっています »