実施基準で検討することになっていること ITへの対応篇
こんにちは、丸山満彦です。実施基準で検討することのITへの対応に関する部分です。
【企業会計審議会】
■内部統制部会
●第12回内部統制部会(17.11.10)配布資料
・資料1 「Ⅰ. 内部統制の基本的枠組み」への意見の概要(PDF:3,597KB)
・資料1-2 「Ⅱ. 財務報告に係る内部統制の評価及び報告」への意見の概要(PDF:2,452KB)
・資料1-3 「Ⅲ. 財務報告に係る内部統制の監査」への意見の概要(PDF:2,547KB)
「Ⅰ. 内部統制の基本的枠組み」への意見
No. |
論点 |
コメント(要旨) |
対応案 |
88 |
ITへの対応 定義 |
「ITの利用とは、・・・IT環境に対応した情報システムに関連する内部統制を整備及び運用することをいう。」(という定義)は、やや分り難い。「・・・情報システムをその一部とする内部統制・・・」、「・・・情報システムjを取り込んだ内部統制・・・」等の表現に変えたほうが良い。 |
○ 「2.内部統制の基本的要素」(6)の記載内容を修正し、「ITへの対応」とした。基本的要素(「ITへの対応」」の定義を変更した。 |
89 |
定義 |
ここでは、「ITの利用とは、・・・内部統制を整備及び運用することをいう。」としているが、1.(2)では、「ITの利用とは、・・・一連のITを活用することをいう。」となっている。ITに関する「内部統制の整備及び運用」とITの「活用」を同義に解するには違和感がある。 |
○ 「2.内部統制の基本的要素」(6)の記載内容を修正し、「ITへの対応」とした。基本的要素(「ITへの対応」」の定義を変更した。 |
90 |
定義 |
「ITの利用とは、・・・内部統制を整備及び運用することをいう。」と、3.(2)「内部統制の整備及び運用とは、・・・内部統制の基本的要素が業務に組み込まれたプロセスを構築し、そのプロセスを適切に機能させていくことをいう。」との関係がわかりにくい。(同義反復的な、意味のない定義となっているのではないか。) |
○ 「2.内部統制の基本的要素」(6)の記載内容を修正し、「ITへの対応」とした。基本的要素(「ITへの対応」」の定義を変更した。 |
91 |
全般統制 |
注意書きの例示は、定義(「・・・業務処理統制が有効に機能する環境を保証する間接的な統制をいう。」)と会わないのではないか。 |
× ・・・プロセスとなっていることを「確保する」ことは、間接的な統制ではないかと考える。 |
92 |
全般統制 |
「ITを利用した全般統制」は、単に「IT全般統制」で良いと思う。この段の全般統制の説明は、必ずしも「ITを利用した」全般統制を例示しているものではない。 |
○ 「2.内部統制の基本的要素」(6)の記載内容を修正した。 ※ 実施基準で検討する。 |
93 |
全般統制 |
IT全般統制について、実務指針等により整備の基準を示してほしい。(ITの業務処理統制については業務プロセスレベルで考えればよいが、IT全般統制の評価・検証は、業務プロセスレベルの作業とは別立てで行われるため。) |
※ 実施基準で検討する。 |
94 |
全般統制 |
上記に関連して、IT全般統制について、内部統制報告書や内部統制監査報告書における位置づけを(実務指針等で)明確にしてほしい。 |
※ 実施基準で検討する。 |
95 |
全般統制 |
米国企業改革法における「IT全般統制」の要求水準は、通常の日本企業のレベルと比べて非常に高く、短期間に統制レベルを引き上げることは非常に難しいと考えるので、実務指針の中で日本の状況を十分踏まえたガイドラインを示してほしい。 |
※ 実施基準で検討する。 |
96 |
全般統制 |
IT全般統制に中に、経営レベルのITマネジメントの要素を加えるべきである。これに伴い、「全社的な内部統制の評価(の検討)」と「業務プロセスに係る内部統制の評価(の検討)」の間に「ITの全般統制の評価(の検討)」を位置づけて、基準等に反映させるべきである。 |
※ 実施基準で検討する。 |
97 |
全般統制 |
「ソフトウエア」は何をさすのが明示すべき。現状では理解のレベルがまちまちになり、全般統制の範囲に誤解を生じる可能性がある。(ソフトウエアについて説明する細かな定義と、PCAOB第2号にあるような完結な定義とが考えられる。) |
× 一般に「ソフトウエア」の定義は統一的なものがないものと考えられる。なお、定義がなくてもITの整備・運用には特に支障がないと考える。 |
98 |
全般統制 |
何に対する「アクセス・セキュリティ」であるのか示した方がよい。 |
※ 左記の用語について、実施基準で検討する。 |
99 |
業務処理統制 |
「個々のアプリケーション・システムにおいて、承認された取引がすべて正確に処理され、記録されることを確保する」ことを評価するためのテスティングは、企業がもっとも頭を悩ませている問題の一つ。米国のシステム監査の専門家間でも様々な意見がある。 |
○ 「2.内部統制の基本的要素」(6)の記載内容を修正した。 ※ 業務処理統制のテスト方法については、実施基準で検討する。 |
100 |
務処理統制 |
日本では(システム監査)専門家の数が限られており、すべての上場企業が確保できるとは思えない。企業の自己評価を目指すのであれば、できるだけ具体的かつわかりやすい評価方法を示すべき。ということについては実施基準で検討する。 |
※ 実施基準で検討する。 |
101 |
務処理統制 |
業務処理統制の定義に(完全性、正確性、妥当性に加えて)「アクセス制限」も含めるべきである。 |
※ 「アクセス・セキュリティ」について、実施基準で検討する。 |
102 |
ITの統制環境について |
IT全般統制を相対的にオペレーショナルなレベルの統制と定義しているため、これとは別に経営レベル又は全社的に共通するITの統制環境を定義し、ITの利用の中に位置づけるべき。 |
○ 本文で「IT環境」を定義し、「IT全般統制」との関係を簡潔に記録することとする。 ※ IT環境を含めた、ITの整備・運用については、実施基準で検討する。 |
103 |
ITの統制環境について |
IT統制環境及び全般統制の評価手順を、別添資料の流れ図に位置づけて示すべき。 |
※ IT環境を含めた、ITの整備・運用については、実施基準で検討する。 |
104 |
情報セキュリティ |
情報セキュリティの取扱いについて、もっと議論をしてほしい。米国企業改革法の対応では、全般統制の中で情報セキュリティが結果的に多くを占めている。 |
※ 実施基準で検討する。 |
「Ⅱ. 財務報告に係る内部統制の評価及び報告」への意見
No. |
論点 |
コメント(要旨) |
対応案 |
58 |
IT統制 |
ITを含む業務プロセスに係る内部統制の具体例を示すとともに、その評価方法を(実務指針で)明示すべきである。 |
※ 実施基準で検討する。 |
59 |
IT統制 |
ITシステムの検証範囲や検証方法を明示すべきである。 |
※ 実施基準で検討する。 |
60 |
IT統制 |
公開草案では、主として統制活動に関係する全般統制と業務処理統制の説明が記載されているが、統制環境、リスク評価、情報と伝達、モニタリングの各項においてもIT利用をどのように分析し、評価するのかのガイダンスを挿入すべき。(実務指針等でも可) |
※ 実施基準で検討する。 |
61 |
IT統制 |
ITの取り扱い(内部統制を評価するための手順)についての実務指針が必要。 |
※ 実施基準で検討する。 |
62 |
IT統制 |
「ITの利用」における全般統制が良好に機能していない場合の業務処理統制への影響の評価等、一体化された評価手順についての説明を、実務指針で示すべき。 |
※ 実施基準で検討する。 |
63 |
IT統制 |
過年度に開発されたアプリケーションの仕様書、開発テスト、変更コントロールのドキュメントが保存されていない場合の対応を実務指針で示すべき。 |
※ 実施基準で検討する。 |
64 |
IT統制 |
内部統制の評価方法の中で、IT統制環境及び全般統制の評価について示す必要がある。 |
※ 実施基準で検討する。 |
65 |
IT統制 |
内部統制の評価方法の中で、IT統制環境・全般統制の評価と「全社的な内部統制」の評価の関係、IT統制環境・全般統制の評価と「業務プロセスに係る内部統制」の評価の関係を示す必要がある。 |
※ 実施基準で検討する。 |
75 |
ITの統制環境 |
全社的な統制評価の中に、の統制環境(の評価)を明示すべき。 |
※ 実施基準で検討する。 |
「Ⅲ. 財務報告に係る内部統制の監査」への意見
No. |
論点 |
コメント(要旨) |
対応案 |
4 |
IT統制の評価の検証(監査) |
IT統制環境及び全般統制の評価の検証(監査)について明確に位置づけておくべき。 |
※ 実施基準で検討する。 |
5 |
IT統制の評価の検証(監査) |
業務プロセスに係る内部統制の評価を検証する前に、IT統制環境及び全般統制の評価の検証を実施する手順とすべき。(全般統制の評価の検証結果を業務プロセスに係る内部統制の評価の検証結果に反映させるため。) |
※ 実施基準で検討する。 |
Comments