IT全般統制の項目
こんにちは、丸山満彦です。IT全般統制の項目はそれぞれの基準でばらばらなんですよね。。。これはややこしい。。。。
大きく分けると
1.国際会計士連盟型
2.日本公認会計士連盟IT委員会報告第3号型
3.COSO・PCAOB型
4.Smaller COSO型
の4パターンがありますね。
実施基準公開草案は表現は違いますが、2.日本公認会計士連盟IT委員会報告第3号型ですね・・・
■1.国際会計士連盟型
【国際会計士連盟】
・315 UNDERSTANDING THE ENTITY AND ITS ENVIRONMENT AND ASSESSING THE RISKS OF MATERIAL MISSTATEMENT
=====
・ Data center and network operations.
・ System software acquisition, change and maintenance.
・ Access security.
・ Application system acquisition, development, and maintenance.
=====
【日本公認会計士協会】
・2006.03.30 監査委員会報告書第29号 企業とその環境の理解及び重要な虚偽表示リスクの評価
=====
・ データ・センターとネットワーク運営
・ システム・ソフトウェアの取得、変更及び保守
・ アクセス・コントロール
・ アプリケーション・システムの取得、開発及び保守
=====
■2.日本公認会計士連盟IT委員会報告第3号型
【日本公認会計士協会】
・2006.03.17 財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について
=====
15.情報システムに関する企画・開発・調達業務の統制活動
16.情報システムに関する運用・管理業務の統制活動
17.セキュリティに関する統制活動
18.アウトソーシングの統制活動
=====
【企業会計審議会内部統制部会】
・2006.11.21 実施基準公開草案】
=====
・ システムの開発、変更・保守
・ システムの運用・管理
・ システムの安全性の確保
・ 外部委託に関する契約の管理
=====
■3.COSO・PCAOB型
【PCAOB監査基準書第2号】
=====
・ program development,
・ program changes,
・ computer operations,
・ access to programs and data
=====
■4.Smaller COSO型
【Ineternal Control over Financial Reporting - Guidance for Smaller Public Companies】
○単純な場合
=====
・System Development
・Change Management
・Security and Access - Logical
・Security and Access - Physical
・Application Controls
=====
○複雑な場合
=====
・System Developement and Change Management
・Security and Access - Logical
・Computer Operations - Problem Management
・End User Computing
=====
【参考】このブログ
・2006.11.07 実施基準案 (11月6日内部統制部会)
・2006.10.16 国際監査基準315、第29号におけるIT全般統制とIT業務処理統制の定義
Comments
内部統制の基本は会社のルール、つまり規程類
で定めた項目をベースとするということだと思います。 ただし、ITについて規程を定めている会社がどれだけあるのか知りませんが、経営者が定めた規定が監査人から見て十分でなくても、経営者が重要と思う内容が規程ですから、外部の基準ではなく自社の規程に従うということではNGなのでしょうか。
Posted by: CWO | 2006.12.10 18:05
丸山 様
夏井です。
内部統制でも個人情報保護指針でも同じなんですが,自社(のみ)を守ることだけを考えていると,結局閉じた世界だけで相当閉塞的にビジネスをせざるを得なくなり,現実には何もできなくなってしまうことがありますよね。企業というものの本質を考えると,もしかすると自殺行為かもしれません。
これまで色んな原案を見てきましたが,机上の空論が多く,「これではビジネスが窒息してしまうなあ」と思わずにはいられないものが決して少なくなかったです。また,以前から主張している「義務の衝突」が発生してしまう場面がかなり多くなってきているのではないかと思われ,ちょっとまずい状況になりつつあるかもしれないと認識しています。
おそらく,米国でも日本でもコストと手間をかけた割合には目だった成果をあげることができず,かつ,依然として企業犯罪が少なくなることはないのに違いないと想像しています。なぜなら,企業犯罪の本質は監視と監査によってはいささかも変容させられるものではないですから。
というわけで,私としては現実に意味のあるものとしての「ポスト内部統制」についてかなり大真面目に考えているところです。
Posted by: 夏井高人 | 2006.12.11 16:06
CWOさん、コメントありがとうございます。
内部統制の基本は会社のルールですが、その会社のルールは社会のルールに従わなければなりませんね。その社会のルールが法令及び法令が従えという企業会計審議会内部統制部会の基準であり、実施基準であるわけです。
で、ITの部分ですが、財務報告に係る内部統制が有効であると言えるためのITのルールであればよいのですが、それは会社が判断するだけでなく、監査人も判断します。したがって、自分で決めたルールにしたがっていれさえすればよいということにはなりませんね。
特に監査人は、上記のルール以外にも日本公認会計士協会のルールにも従がることになりますので、企業側もそれを考慮しなければなりませんね。
ただし、外部のガイドラインであるCOBITやシステム管理基準に完全に従う必要はありません。目的は財務報告の有効性を確保することですから・・・
Posted by: 丸山満彦 | 2006.12.12 09:01