公認会計士協会 パブコメ ＩＴ委員会研究報告「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」（公開草案）

　こんにちは、丸山満彦です。日本公認会計士協会が、ＩＴ委員会研究報告「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」（公開草案）を公表していますね。。。

　
【日本公認会計士協会】
・2007.11.08 ＩＴ委員会研究報告「ＩＴに係る内部統制の枠組み～自動化された業務処理統制等と全般統制～」（公開草案）の公表について
＝＝＝＝＝
公開草案とりまとめの趣旨及び背景について
　本年２月に企業会計審議会より公表された「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）」で、内部統制の基本的な要素として「ＩＴへの対応」が含まれるなど、ＩＴと内部統制の関係は密接不可分のものであるとの認識は広く持たれている状況となっています。この様な状況の中で、従来各種の委員会報告の中で説明されていた財務諸表監査におけるＩＴの利用及び統制の評価範囲及び評価方法について、監査実務上の参考となるよう整理し、解説を策定する必要が生じてきています。
　本研究報告（公開草案）は、特にＩＴに係る内部統制統制の理論的枠組みの整理に重きを置き、自動化された業務処理統制等及び全般統制の意義を明確にするとともに、両者の関係がより明らかとなるよう具体的例示を挙げ、解説しております。
＝＝＝＝＝
だそうです。

・・前書文 （PDF ・1P・12KB）
・・本文 （PDF ・10P・39KB）

　IT業務処理統制等は
＝＝＝＝＝
(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報
＝＝＝＝＝
の３つに分けて説明していますね。。。

＝＝＝＝＝
２．全般統制の適用範囲
・・・・・
③ Ｗｅｂアプリケーションを利用しているなど、ネットワーク上でプログラムやデータが流れている場合には、個々のアプリケーションシステムに対する、開発、変更、運用等といった全般統制だけではなく、ネットワーク全体の運用・管理まで一体とした統制活動としての全般統制が対象となる。
＝＝＝＝＝
　ほー。。。

　その下の、、、
＝＝＝＝＝
④ 企業外に開かれた接続環境が実現されている場合、その企業の支配力が直接及ばない範囲も管理の対象として考慮する必要が生じる。ＥＤＩやインターネットを通じて、 企業外部からデータが入力され、出力される環境においては、ハードウェアやソフトウェアも、他の企業や個人の支配下にあるため、企業外における全般統制の適用状況が全般統制の範囲となる可能性がある。
＝＝＝＝＝
　ここでも、支配力が及ばない範囲も管理の対象とする必要があると・・・支配力が及ばないコントロールも評価しろってこと。。。契約関係があればある程度コントロール可能ですかね。。。

全般統制の統制目標
＝＝＝＝＝
・プログラムの開発管理を適切に行う。
・プログラムの変更管理を適切に行う。
・コンピュータの運用管理を適切に行う。
・プログラムとデータの情報セキュリティ管理を適切に行う。
＝＝＝＝＝
適切という言葉はどうかと思いますが、いい線いっていると思います。。。情報セキュリティ管理は、アクセス管理ですよね。。。

【参考】このブログ
・2007.10.25 公認会計士協会 監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」を公表