IT全般統制

情報システムにＩＴが利用されている場合は、通常、情報は種々の業務システム で処理、作成され、その情報が会計システムに反映される。したがって、経営者は、 こうした業務システムや会計システムによって作成される財務情報の信頼性を確保 するための内部統制を評価する必要がある。この内部統制には、コンピュータ・プ ログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一 体となって機能している内部統制がある。[金融庁 企業会計審議会 基準�U.3（3）]

評価の範囲の決定　[金融庁 企業会計審議会 基準�U.3（3）]

a. 業務プロセスとシステムの範囲
財務報告に係るＩＴの評価では、まず、財務報告に係る内部統制に関連するシ ステムの対象範囲を明確にする必要がある。業務プロセスにおける取引の発生か ら集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科 目がどのような業務プロセス及びシステムと関連しているか、システムの機能の 概要、どの部署で利用されているか等について整理する。
その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生 から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの 流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使 用されているシステムの一覧を作成することが有用である。

b. ＩＴ基盤の把握
各業務プロセスにおけるシステムの把握に加えて、それを支援するＩＴ基盤の 概要を把握する。例えば、以下のような項目について把握する。
・ＩＴに関与する組織の構成
・ＩＴに関する規程、手順書等
・ハードウェアの構成
・基本ソフトウェアの構成
・ネットワークの構成
・外部委託の状況

評価単位の識別　[金融庁 企業会計審議会 基準�U.3（3）]

ＩＴに係る全般統制は、ＩＴ基盤の概要をもとに評価単位を識別し、評価を行う。 例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、 会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理 している場合、評価単位を「システム部」と「経理部」の２つとして識別する。 一方、ＩＴに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必 要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処 理統制を識別する。

ＩＴを利用した内部統制の整備状況及び運用状況の有効性の評価　[金融庁 企業会計審議会 基準�U.3（3）]

経営者は、ＩＴに係る全般統制が、例えば、次のような点において有効に整備 及び運用されているか評価する。
・システムの開発、保守
・システムの運用・管理
・内外からのアクセス管理などのシステムの安全性の確保
・外部委託に関する契約の管理

内部統制の有効性の評価のうち、内部統制の運用状況の有効性の評価に当たっ ては、経営者は、業務処理統制の運用状況の評価とあわせて、関連する全般統制 の運用状況の評価を実施するが、業務処理統制の運用状況の評価の実施範囲を拡 大することにより、全般統制の運用状況の評価を実施せずに、内部統制の運用状 況の有効性に関して十分な心証が得られる場合もある。

《参考文献》

新日本有限責任監査法人　内部統制実務講座　「第13回　財務報告に係る内部統制評価の実務―ITに係る全般統制―」

あずさ監査法人　「IT全般統制」の留意点−来る「J-SOX」の導入に向けて− 」

監査法人トーマツ 会計情報 「ITに係る内部統制の枠組み〜自動化された業務処理統制等と全般統制〜について」

お気軽にお問合わせください。 TEL:03-6715-9585/FAX:03-6715-9586　 E-MAIL:info@m-solution.biz
Copyright (C) 2006 Management Solution Inc , All rights reserved.