« 経済産業省 製品回収にICタグ活用検討? | Main | 自民党 電子投票促進へ交付金? »

2006.10.16

国際監査基準315、第29号におけるIT全般統制とIT業務処理統制の定義

 こんにちは、丸山満彦です。国際会計連盟の監査基準(ISA)315 UNDERSTANDING THE ENTITY AND ITS ENVIRONMENT AND ASSESSING THE RISKS OF MATERIAL MISSTATEMENT と日本公認会計士協会監査基準委員会報告書第29号 企業とその環境の理解及び重要な虚偽表示リスクの評価における全般統制と業務処理統制の定義です。ついでにPCAOB第2号、IT委員会報告第3号、Smaller COSOにも言及しておきました。

【日本公認会計士協会】
・2006.03.30 第29号 企業とその環境の理解及び重要な虚偽表示リスクの評価  
=====
88.全般統制は、多くのアプリケーションに関係する方針と手続であり、情報システムの継続的かつ適切な運用を確保することにより、業務処理統制が効果的に機能するよう維持する。情報の正確性、網羅性及び適時性並びに情報のセキュリティを保持するための全般統制には、通常、以下の項目に対する内部統制が含まれる。
・ データ・センターとネットワーク運営
・ システム・ソフトウェアの取得、変更及び保守
・ アクセス・コントロール
・ アプリケーション・システムの取得、開発及び保守
  これらは一般的に、第57項に記載しているIT特有のリスクに対処するために導入されている。

89.業務処理統制は、典型的には業務プロセスにおいて適用される手続であり、手作業による場合とプログラムに組み込まれて自動化されている場合とがある。
  業務処理統制は防止的、発見的のいずれの種類もあり、会計記録が正確で網羅的な情報を適時に把握していることを確保するためにデザインされるものである。したがって、業務処理統制は、取引やその他の財務情報の開始から記録、処理、報告に至るまでの手続に関係し、発生した取引が承認され、網羅的かつ正確に記録・処理されることを担保する。例えば、入力データの正確性を担保するエディット・チェック、データ入力時に行われる連番検査における手作業での例外申請書の追跡調査や修正によるものがある。
=====

【国際会計士連盟 IFAC:The International Federation of Accountants】
・315 UNDERSTANDING THE ENTITY AND ITS ENVIRONMENT AND ASSESSING THE RISKS OF MATERIAL MISSTATEMENT
=====
94. General IT-controls are policies and procedures that relate to many applications and support the effective functioning of application controls by helping to ensure the continued proper operation of information systems.
General IT-controls that maintain the integrity of information and security of data commonly include controls over the following:
• Data center and network operations.
• System software acquisition, change and maintenance.
• Access security.
• Application system acquisition, development, and maintenance.
They are generally implemented to deal with the risks referred to in paragraph 60 above.

95. Application controls are manual or automated procedures that typically operate at a business process level. Application controls can be preventative or detective in nature and are designed to ensure the integrity of the accounting records. Accordingly, application controls relate to procedures used to initiate, record, process and report transactions or other financial data. These controls help ensure that transactions occurred, are authorized, and are completely and accurately recorded and processed. Examples include edit checks of input data, and numerical sequence checks with manual follow-up of exception reports or correction at the point of data entry.
=====

IT全般統制を
=====
・ データ・センターとネットワーク運営
・ システム・ソフトウェアの取得、変更及び保守
・ アクセス・コントロール
・ アプリケーション・システムの取得、開発及び保守
=====
• Data center and network operations.
• System software acquisition, change and maintenance.
• Access security.
• Application system acquisition, development, and maintenance.
=====
の4つに分類していますが、これは、PCAOB第2号の分類とはちがいますね。

【PCAOB】
監査基準書第2号
=====
50. Some controls (such as company-level controls, described in paragraph 53) might have a pervasive effect on the achievement of many overall objectives of the control criteria. For example, information technology general controls over program development, program changes, computer operations, and access to programs and data help ensure that specific controls over the processing of transactions are operating effectively. In contrast, other controls are designed to achieve specific objectives of the control criteria. For example, management generally establishes specific controls, such as accounting for all shipping documents, to ensure that all valid sales are recorded.
=====
PCAOB第2号では、例示として
=====
・program development,
・program changes,
・computer operations,
・access to programs and data
=====
の4つに分類していますね。

更にややこしいことに、日本のIT委員会報告第3号では、全般統制を別の視点から4つに分類しているんです。
【日本公認会計士協会】
・2006.03.17 財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について
=====
15.情報システムに関する企画・開発・調達業務の統制活動
16.情報システムに関する運用・管理業務の統制活動
17.セキュリティに関する統制活動
18.アウトソーシングの統制活動
=====

内容については、PDFファイルでわかるのですが・・・
=====
15.情報システムに関する企画・開発・調達業務の統制活動
情報システムに関する企画・開発・調達業務では、監査人は、情報システムの新規開発やパッケージソフトの導入、並びに情報システムの運用・管理のための内部統制がデザインされているかについて検討する。企業が、情報システムに適切な内部統制を組み込むためには、企画・開発・調達段階で組み込むべき内部統制の内容を検討する必要がある。企業が情報システムに関する企画・開発・調達の過程を適切に管理していない場合には、例えば未承認の発注取引を防止する機能を組み込んでいないなど、完成した情報システムの信頼性が期待できないことがある。このように、情報システムに関する企画・開発・調達は、他の内部統制の整備状況や運用状況に影響を与える。特に、ユーザ部門の参画による十分なテストの実施・検収や、適切なプログラム等の移行・変更管理は、情報システムの信頼性に影響を与える。

16.情報システムに関する運用・管理業務の統制活動
監査人は、企業が適切なデータを適切なプログラムで処理し、信頼できる処理結果を得るための内部統制をデザインしているかを検討する。この内部統制には、例えば、次の事項が含まれる。
・オペレータによる手動又は自動実行ツールによるプログラム等の運用手順
・プログラムによる処理結果の確認手続
・実行スケジュール管理
・エラーが発生した場合の再処理の方法を含めた対応手順
・不具合が発生した場合のプログラムの修正手順
・適切なプログラムの使用のためのライブラリ管理

17.セキュリティに関する統制活動
監査人は、企業がデータ、ソフトウェア、ハードウェア及び関連設備等の不正使用、改竄、破壊等を防止するために、アクセス管理や自然災害等への対策のための内部統制をデザインしていることを確かめる。この内部統制には、アクセス管理用のソフトウェアを導入し、IDとパスワードの組合せをプログラムでチェックするような論理的なものだけでなく、コンピュータルームへの入室を制限して、ハードウェアの物理的な破壊や盗難を防止するような対策も含まれる。企業は、このセキュリティに関する方針を、情報システムの企画・開発・調達段階においても検討し、文書化することが必要である。

18.アウトソーシングの統制活動
企業が、情報システムの開発業務や運用業務等につきアウトソーシングを利用している場合には、監査人は、企業が委託業務を管理するための内部統制をデザインしていることを確かめる。すなわち、監査人は、企業による受託会社の選定基準、成果物等の検収体制、受託会社の内部統制を理解し、自社の内部統制に与える影響等を評価する。また、企業がその製品の物流・保管につきアウトソーシングを利用している場合のように、企業の基幹業務の一部を受託会社が担っている場合には、受託会社のシステム障害が、企業の業務の運営に支障をきたす可能性がある。したがって、監査人は、企業と受託会社との間で合意されているサービスレベルに留意する。
=====

【Ineternal Control over Financial Reporting - Guidance for Smaller Public Companies】
で、最後にSmaller COSOです。
第3分冊が評価ツールになっていて、次のようなAreaがあります。

Less Complex Information Technology Environment
=====
・System Development
・Change Management
・Security and Access - Logical
・Security and Access - Physical
・Application Controls
=====

More Complex Infromation Technology Environment
=====
・System Developement and Change Management
・Security and Access - Logical
・Computer Operations - Problem Management
・End User Computing
=====

あーややこし・・・


|

« 経済産業省 製品回収にICタグ活用検討? | Main | 自民党 電子投票促進へ交付金? »

Comments

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference 国際監査基準315、第29号におけるIT全般統制とIT業務処理統制の定義:

« 経済産業省 製品回収にICタグ活用検討? | Main | 自民党 電子投票促進へ交付金? »