« 全社的な内部統制と業務プロセスに係る内部統制の関係 | Main | IPA 「情報セキュリティ標語2006」の入選作品決定 »

2006.05.13

IT業務処理統制 < Control Objectives for SOX

 こんにちは、丸山満彦です。Control Objectives for SOXで例示されているIT業務処理統制の例です。

業務処理統制の例

概 要

例 示

照合による統制活動

マニュアル(手作業)で、または自動的にコントロールトータルに組み込んだ合計金額と照合することによって、データ入力ミスを検出する。

企業はオンライン発注システムから受け渡され処理されたトランザクションの件数と、受け渡した取引合計数を、請求システムが受け取った取引件数を自動的に照合することが挙げられる。

チェックディジット

データを検証するための計算。

ある企業は業者からの不正確な発注を発見し、修正するため、チェックディジットを部品番号に含めている。共通商品コードにはチェックディジットが含まれており、製品と業者を検証する。

事前定義のデータリスト

許容できるデータを予め定義したリストをユーザに提供する。

ある企業のイントラネット・サイトは購入可能な製品のドロップダウンリストを載せている。

データの妥当性テスト

読み込まれたデータを現在または過去の妥当性のパターンと比較する。

住宅改築の小売店が業者に極めて大量の木材を発注した場合、レビューの対象になる。

ロジック・テスト

上限または金額/アルファベットのテストの使用を含む。

クレジットカード番号には予め決められた形式がある。

 

Application Control

Summary

Examples

Balancing control activities

Controls that detect data entry errors by reconciling amounts captured either manually or automatically to a control total.

A company automatically balances the total number of transactions processed and passed from its online order entry system to the number of transactions received in its billing system.

Check digits

A calculation to validate data.

A company’s part numbers contain a check digit to detect and correct inaccurate ordering from its suppliers. Universal product codes include a check digit to verify the product and the vendor.

Predefined data listings

Controls that provide the user with predefined lists of acceptable data.

A company’s intranet site might include drop-down lists of products available for purchase.

Data reasonableness tests

Tests that compare data captured to a present or learned pattern of reasonableness.

An order to a supplier by a home renovation retail store for an unusually large number of feet of lumber may trigger a review.

Logic tests

Tests that include the use of range limits or value/alphanumeric tests.

Credit card numbers have a predefined format.

 IT業務処理統制は、不正な取引を防止または発見するためにソフトウェアプログラムに組み込まれたものです。ということは、IT業務処理統制を整備するということは、多くの場合プログラム開発が必要となりますね。
 
 でも、ここであわてて開発を急いではいけないんです。IT全般統制が機能していないと、開発されたIT業務処理統制の有効性を保証できないからです。IT全般統制が信頼できないと、IT業務処理統制も信頼できないことになり、結局導入しても、評価という意味では・・・ということになりますね。

ということで、IT全般統制とIT業務処理統制は同時に導入する必要があるかもしれませんね。

【参考】
●文書へのリンク
2nd Edition - ED
1st Edition
1st Edition 日本語訳

Cobit 4.0 (要登録)

●このブログ
・2006.05.03 キーコントロール in IT CO for SOX
・2006.05.03 ISACA パブコメ IT Control Objectives for SOX 2nd Edition
・2006.04.25 米国 30年前のIT適用業務処理統制の項目
・2006.04.24 米国 30年前のIT全般統制の項目
・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2006.03.04 Control Objectives for SOXの翻訳
・2006.02.24 IIA Exposure Draft "Generally Accepted IT Principles (GAIT)"
・2006.02.23 JICPA パブコメ IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」の一部改正
・2005.12.06 COBIT4

|

« 全社的な内部統制と業務プロセスに係る内部統制の関係 | Main | IPA 「情報セキュリティ標語2006」の入選作品決定 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference IT業務処理統制 < Control Objectives for SOX:

« 全社的な内部統制と業務プロセスに係る内部統制の関係 | Main | IPA 「情報セキュリティ標語2006」の入選作品決定 »