« NHK 土曜ドラマ 監査法人 | Main | 情報システム監査の実施状況 <= 監査白書 »

2008.06.18

EDPシステムの監査基準および監査手続試案

 こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
 内容的には今とあまり変わっていませんね。。。

 
 で、その内容を見ると・・・ 

はじめに
 企業の会計組織に電子計算機が使用されることによって、公認会計士ならびに監査法人(以下監査人という)が実施する財務諸表監査は、著しい影響を受けている。監査人は、変化する監査環境に積極的に対応し、財務諸表に対して正しい意見を表明することにより、監査人としての社会的責務を果さなくてはならない。
このためには、まずEDPシステムが企業の会計組織に如何なる影響を及ぼしているかを明確にすることを要する。

 30年前から変わっていませんね。。。
 そして、具体的に監査に与える影響を3つ挙げています。
第一は、内部統制の態様の変化の問題であり、
第二は、会計記録の構造の変化と会計処理のEDP化に伴う監査証跡の問題であり、
第三は、監査手続ならびに監査証拠の実証力に与える影響からして、内部統制の重要性がますます増大しており、またシステムの信頼性を実証する上で確証的証拠(本文第三章の1参照)による直接的実証が重要である。

 この当時は、監査人がシステム設計段階から関与しなければならないということがよくいわれていたようです。当時の書籍でもこの点は書かれていましたね。。。この報告書でも
監査証跡ならびにEDPアプリケーションに織り込むべき統制がこれらに重要な影響を与えることになるから、監査人は、システム設計段階から関与しなければならない。

 要は、IT業務処理統制はシステム設計段階から必要ですよね。。。ということですかね。。。
 さて、内部統制の構成要件についても書かれているのでご紹介・・・
1.EDPシステムによる内部統制の構成要件
EDPシステムにおける内部統制の構成要件は、
第一に、EDPシステム全体にわたる基礎的な共通要件である各種統制要素(以下全般統制という)
第二に、EDPアプリケーションの各々につき、そのそれぞれに応じた管理がなされるべき各種統制要素(以下業務処理統制という)
第三に、EDPシステムに関して、災害の予防はもちろん、災害時の復元化対策までをも含めた安全に対する対策(以下安全統制という)
第四に、誤謬・不正の発見・防止のための管理手段たる内部牽制制度は、上述した各統制においていずれにも深い関係を有しており、これら諸統制を適切に運営するための支柱の一つであるが、特にEDPシステムにあっては、その特性から職務の分割ならびに手続的管理手法に基礎を置いた牽制機能による相互牽制は、その機能が結合される(以下相互牽制機能の結合という)例が多く見られるので、相互牽制機能の結合を補正する統制機能を各統制に組み込むこと、ならびに次に述べるEDPシステム監査人制度により内部統制上またはその運営上の弱点が補完されていること
第五に、これらの諸統制が整備され、有効に機能しているか否かの内部監査を行い、経営者に助言・勧告する制度(以下EDPシステム監査人制度という)
である。

 全般統制と安全統制が区分されていますね。。。内容としては災害復旧ですね。。。
 次に全般統制について書かれています。
2.EDPシステムにおける全般統制
 EDPシステムの全体が、内部統制上有効に機能するためには、
イ.EDPシステムに関する組織の構成とその機能、つまりEDP部門の独立性とユーザ部門との相互牽制ならびにEDP部門内における職務権限の分割
ロ.EDPアプリケーションの仕様およびデータ処理手続とそれらの変更、ならびに各種データ処理作業に関する標準化・文書化および承認の手続
ハ.適切な監査証跡を残す方策を織り込んだEDPシステムあるいはEDPアプリケーションやデータ処理の設計
ニ.EDP要員とその管理
ホ.データ処理の一部または全部を外注している場合における管理
ヘ.EDPシステムの原価管理
の各要素が具備されていることを要する。
これらの各要素は、各々それ自体EDPシステムの内部統制にとって基礎的なものであるばかりでなく、相互に関連しているから、どれか一つに重大な欠陥があればその欠陥はEDPシステムの全体あるいは広範囲にわたって影響をおよばす

 原価管理っていうのが今はないですよね。。。全般統制に重大な欠陥があれば、全体に影響を与えるっていうのは当時から言われていますね。。。
 では、引き続いて業務処理統制・・・
3.EDPシステムにおける業務処理統制
内部統制上EDPアプリケーションの信頼性が確保されていなければならないが、その信頼性はEDPアプリケーションを構成する個々のデータ処理の正確性に依存する。EDPシステムにおけるデータ処理はプログラムによって反復継続的に行われており、またデータ処理にいくつかの過程を経て最終記録が得られることから、
イ.プログラミング
ロ.インプット
ハ.オペレーション
ニ.アウトプット
ホ.オンラインシステムを採用している場合におけるアクセス
の各要素に関して、それぞれ適切な管理を要するほか、これらのデータ処理業務に伴いあるいは付随して必要とされる
ヘ.ライブラリ
ト.消耗品
の各要素についても、適切な管理を欠かすことはできない。
これらの各要素の管理における欠陥は、それに直接関係のあるデータ処理ひいてはEDPアプリケーションに影響する。

 今では、インプット、オペレーション、アウトプットの3つが中心になりますが、当時はプログラミング、消耗品といったものも含まれていますね。。。
 さて最後は、安全統制。。。
4.EDPシステムにおける安全統制
 EDPシステムにおいては、電子計算機ならびにその関連資産が不慮の事故・災害・破壊等にあった場合には、例えば売掛債権の保全が脅かされたり、期限内に決算業務を遂行することが困難になる等、重大な影響を被らざるを得ない。このことから、EDPシステムの完全統制つまり物的設備対策・人的対策ならびにバックアップ体制を確立しておくことが必要である。
 これらは、第一義的には監査人の検討・評価事項ではないが、監査人は、被監査会社の安全統制が不備と認められる場合には、必要があればその改善を勧告しなければならない。

 この報告書は、公認会計士等であればみることができますが、外部には公開されていないようです。。。
 残念ですね。こういうものは公開すべきですね。。。
 会計士の方は、
JICPA データベース
 から検索してください。

 参考にあげた内容と比較してみるのも面白いかもしれませんね。。。

【参考】このブログ
・2008.03.28 公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」
・2008.01.23 公認会計士協会 確定 IT委員会研究報告「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」
・2007.12.20 公認会計士協会 パブコメ IT委員会研究報告「自動化された業務処理統制等に関する評価手続」(公開草案)
・2007.11.08 公認会計士協会 パブコメ IT委員会研究報告「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(公開草案)

・2006.04.25 米国 30年前のIT適用業務処理統制の項目
・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.07 公認会計士協会 「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」及び「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」を公表

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている
・2006.02.23 公認会計士協会 パブコメ IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」の一部改正
・2005.12.23 公認会計士協会 パブコメ IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」

|

« NHK 土曜ドラマ 監査法人 | Main | 情報システム監査の実施状況 <= 監査白書 »

Comments

技術は格段に進歩しましたが本質的には何も変わっていないですね。つまり財務報告という観点ではITの使い方が大きくは変化していないということなのでしょう。

Posted by: 閑人 | 2008.06.18 14:13

閑人さん、コメントありがとうございます。穿孔テープによるバッチ処理からユーザや取引先が直接入力するオンライン処理にかわるなど、技術の変化はあります。したがって、統制手続(統制活動)は変わるし、その評価方法も変わります。
でも、統制目標は変わっていないんですよね。。。

Posted by: 丸山満彦 | 2008.06.19 10:28

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference EDPシステムの監査基準および監査手続試案:

« NHK 土曜ドラマ 監査法人 | Main | 情報システム監査の実施状況 <= 監査白書 »