« 番外編 CO2が減るかもしれないが食料も確実に減るみたい。。。 | Main | 経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の仮訳 »

2007.10.13

ITを利用しているからといってすべての場合にIT全般統制の評価をしなければならないわけではない

 こんにちは、丸山満彦です。とある人と話をしていると次のような話になりました。ある業務プロセスにおいてITが利用されているので、IT全般統制も評価しなければならないと思い、一生懸命IT全般統制の評価シートをつくり、IT全般統制の評価をしようとしていたけれども、実はその業務プロセスでは、複雑な計算をしているわけでもなく、情報システムによる承認プロセスがあるわけでもなく、マニュアルによる内部統制でアサーションがカバーされていたということです。

 
そういう場合って、業務プロセスに係る内部統制の評価はマニュアルのみで完結するわけで、IT全般統制の評価をする必要はないと思うわけです。

 よく考えれば当たり前のことですが、「ITを利用しているからといってすべての場合にIT全般統制の評価をしなければならないわけではない」ということです。。。

 無駄な作業をしないようにしないといけませんね。。。

|

« 番外編 CO2が減るかもしれないが食料も確実に減るみたい。。。 | Main | 経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の仮訳 »

Comments

まるちゃん♪

トップダウンのリスクアプローチでスコーピングを行っていたら、このようなことはなかったのかなと思います。取りあえず、何かやれという感じでプロジェクトを始めると、やらなくていいことをやり、やらなくてはいけない所はやらないというようなことになってしまうような気がします。

Posted by: koneko04 | 2007.10.13 17:08

コンピュータ屋です。
おはようございます。

IT全般統制の評価はもともとの目的からして間接的ですので、影響ないところは不要と言うことですね。
身近なところでは、IT全般統制は遅れ気味とよく聞きます。丁度良いのではと思っています。
そして、ゆっくりと本来的また統合的な企業目的からの整備の視点でIT全般統制を評価すべきと思っています。再整備にも結構時間がかかりそうです。

Posted by: コンピュータ屋 | 2007.10.14 08:54

koneko04さん、コメントありがとうございます。
> 取りあえず、何かやれという感じでプロジェクトを始めると、やらなくていいことをやり、やらなくてはいけない所はやらないというようなことになってしまうような気がします。
そのとおりですね。。。計画段階が非常に重要ですが、計画をおろそかにしてプロジェクトを開始するケースが少なからずあるように思います。

コンピュータ屋さん、コメントありがとうございます。
 やらないといけないところは、やらないといけないのですが、その峻別を誤るといけないということですね。。。

Posted by: 丸山満彦 | 2007.10.14 14:49

 IT全般統制の評価範囲というのは、結構奥が深い問題かと思います。

 単純に業務処理統制内に「重要なIT業務処理統制」が埋め込まれている場合、例えば全ての承認が電子承認で行われているとか携帯電話の料金計算等、は、関連するシステムが評価対象となるのは判るのですが、周辺領域?が多いと判断に悩むところです。

 例えば、
1) 出力帳票を手作業の検証(合計チェックや他帳票との整合性確認等)せずに利用している
2) システム間I/Fについて、手作業の検証(物流システムの出荷額と会計システムの売上額の整合性確認等)を行わずに整合性が確保されているとみなしている<上の出力帳票と同じ論点かもしれません。
3) 簡単な自動計算(消費税の自動計算や減価償却費の製造コスト・販管費按分がシステム上自動で行われている等)が、自動計算の正確性の検証は行っていない
4) 1)・3)の組み合わせかもしれませんが、「滞留在庫一覧」「滞留売掛金一覧」等、他の帳票との整合性が確認できない帳票が正しく出力されていることを前提に利用している
4) 単純なシステム上のインプットコントロール(締後の伝票入力はシステム上制約されている等)を利用している
5) 職務分掌を担保するための単純な権限設定(権限分掌の一環として、経理部員以外は会計システムにアクセスできない)を利用している
6) EDIデータ受取後、自社システム用に変換してから取り込んでいるが、変換はシステム部門にまかせで正しく変換されていることが前提で後の処理が行われる
という場合なんかは、関連するシステムをIT全般統制の評価範囲に含むべきなのでしょうか?(思いつくままに記したので、あまり深く考えていません)

 突き詰めれば「IT全般統制で何を担保するのか?」「IT業務処理統制とは?」という話になるのかもしれませんが。

 上記のような「コントロール」を識別するのは、システムと業務の両方(加えて内部統制も!)に詳しくないと識別・検証が難しいですね。また、そもそも「コントロールと呼ぶに値するのか?」と言う点にも自信がありません。

Posted by: Mulligan | 2007.10.19 15:04

Mulliganさん、コメントありがとうございます。

結局、IT全般統制は何を達成すればよいのかが明確になっていないと思うわけです。。。

そもそも歴史を紐解くと。。。汎用機の時代にさかのぼるわけです。そのときは、すべてのシステムが汎用機というひとつの環境で動いていたわけですね。そうなれば、購買システムであっても、販売システムであってもすべて同じ情報システムの環境で利用されているわけで、まさにGeneral Controlを評価すれば、すべてのシステムの評価ができることになるわけですね。そのときに、やはり、システムで行われている処理(IT業務処理統制を含む)が適正におこなわれることを保証することがIT全般統制の統制目標と思われるわけです。。。

ということで、
(1)期待したとおりのプログラムが本番環境に実装されている。
(2)期待したとおりにプログラムが実行されている。
(3)プログラム・データへのアクセスコントロールが適正に行われている(必要なヒトが必要な対象に必要な行為を実行できるようになっている)

という状況が存在していることが最低限必要で、それを保証するために、モニタリング等も行われているという感じだと思うんですね。。。

って、私が勝手に思っているだけですが・・・

Posted by: 丸山満彦 | 2007.10.22 16:58

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference ITを利用しているからといってすべての場合にIT全般統制の評価をしなければならないわけではない:

« 番外編 CO2が減るかもしれないが食料も確実に減るみたい。。。 | Main | 経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の仮訳 »