EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
公認会計士 七海健太郎
ITに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するため業務プロセスに組み込まれたITに係る内部統制です。また、ITに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続きをいいます。
ITに係る業務処理統制は一貫した処理を反復継続する性質を有しているため、その整備状況が有効な場合、ITに係る全般統制が有効であることを前提に、ITに係る業務処理統制の運用状況の評価作業を最小限のサンプル件数に減らすことが可能です。
留意点は第5回:その他の業務プロセスのQ&Aとほぼ同様ですが、次の点について識別が漏れやすいので留意が必要です。
手作業の統制に利用される重要なリポート(売掛金の滞留債権一覧など)がシステムにより自動的に作成される場合、当該リポートが信頼できることが前提であるため、当該自動作成機能はITに係る業務処理統制として識別する必要があります。
自動計算(入力された数値を基に、プログラム化された計算式により自動計算を行う機能)や自動仕訳(入力された数値や情報を基に、プログラムにより自動で仕訳を起票し、総勘定元帳へ記録する機能)については、ITに係る業務処理統制としての識別が漏れやすいので留意が必要です。
ITに係る業務処理統制が自動化されていたとしても、例えばソースコードやプログラム仕様書を読む、導入時のテスト結果を査閲する、ダミーデータを流してみるといった方法により評価することが必ずしも必要というわけではありません。財務報告に係る内部統制の有効性評価では、統制の有効性は<表28-1>のように本番環境を利用した検証手続で評価することも可能です。
また、ITに係る業務処理統制に関するテストは、ITに係る全般統制の評価が有効であれば、一貫した処理を反復継続する性質を有しているため、多くのサンプルをテストする必要はありません。
表28-1 本番環境を利用した検証手続
ITに係る |
ITに係る |
評価方法の例 |
---|---|---|
自動転記 |
あるシステムから他のシステムへのデータ転送時に、必要な全てのデータが正確に転送されることを保証する統制 |
転送元システムと転送先システムから、それぞれ帳票を出力して件数・金額などを照合する |
アクセス制限 |
重要な機能、データへの不正なアクセスを防止する統制 |
実際に権限設定されていないメニューを使用できないかコンピューターの画面で確かめる |
自動計算 |
計算が正確に実施されていることを保証する統制。自動計算については、自動化された計算自体が統制となる |
プログラムの計算結果を実際に手計算などを行い、自動計算の正確性を検証する |
バリデーションチェック |
入力、処理もしくは出力が不適切になるリスクを、さまざまな確認を行うことにより制限する統制 |
コンピューターの画面で販売枠を超える受注を入力し、リジェクトされることを確かめる |
エディットチェック |
入力、処理もしくは出力が不適切になるリスクを項目の属性で制限する統制 |
コンピューターの画面で入力できない項目を実際に入力し、リジェクトされることを確かめる |
ITに係る業務処理統制は本番環境を利用して済む場合が多いですが、テスト環境が本番環境と同質であることを確認できる場合には、テスト環境で評価を行うことも可能と考えられます。
特に、システム部門の方はテスト環境の利用を前提に統制評価を検討する傾向がありますが、得られる心証の程度及び手続きの効率性を考慮し、まずは本番環境のデータでどのように統制評価を行うかを先に検討すべきです。
ITに係る業務処理統制が一度、有効に機能するように整備されると、変更やエラーが発生しない限り一貫して機能するという性質があるため、過去に一度、有効に運用されていると評価された場合、(1)当該統制に変更がないこと、(2)統制に不具合が発生していないこと、(3)ITに係る全般統制が有効に機能していると判断できることの3要件を満たせば、ITに係る業務処理統制の評価において過年度の評価結果を利用することが可能となります。
ただし、過年度の評価結果を利用する場合は、(1)(2)について具体的に、どのように確かめるか(モニタリングするか)を十分に検討しておく必要があること、ITに係る全般統制の整備状況の評価は過年度の評価結果を利用できないため、毎年実施する必要があることにご留意ください。
評価範囲及び評価単位の決定は一般的に、次のように行います。なお、決定の過程は適切に文書化しておくことが必要です。
ITに係る全般統制の評価対象とすべきシステムは財務報告に係る内部統制に関連するものに限定されるため、まずは評価対象とした業務プロセスとシステムの関係を把握し、評価対象とすべきシステムを絞り込む必要があります。
なお、評価対象とした業務プロセスにおいて、ITに係る業務処理統制を適切に識別した結果、ITに係る業務処理統制に依拠していない場合、そのシステムを評価対象とする必要はありません。
各業務プロセスとシステムの関係に加え、それを支援するIT基盤の概要を把握する必要があります。例えば、次のような項目について把握します。
ITに係る全般統制は、システムごとに個別に評価することは効率的でないため、IT基盤の概要をもとに実態に合わせて評価単位を決定し、評価します。例えば、次のような場合には評価単位を分けるかどうかを慎重に検討することが必要です。
実施基準では、ITに係る全般統制の評価対象の例として<表32-1>の四つの領域が示されています。ほかにも「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」(IT委員会報告第3号14~18項)、システム管理基準追補版などが参考になると思われます。なお、各基準によって評価領域の区分は異なりますが、評価項目には大きな差がないと思われます。
また、監査法人によっては評価領域の例を提示しているところもあるので、評価領域について事前に担当監査法人と協議しておくことが有効と考えます。
表32-1 ITに係る全般統制の評価領域
領域 |
各領域に該当する項目の例 |
---|---|
システムの開発・保守に係る管理 |
IT基盤の構築、変更管理、テスト、開発・保守に関する手続きの策定と保守など |
システムの運用・管理 |
運用管理、構成管理(ソフトウェアとIT基盤の保守)、データ管理など |
内外からのアクセス管理などシステムの安全性の確保 |
情報セキュリティーフレームワーク、アクセス管理などのセキュリティー対策、情報セキュリティーインシデント(事故)の管理など |
外部委託に関する契約の管理 |
外部委託先とのサービスレベルの定義と管理など |
ITに係る全般統制の評価手順は、その他の業務プロセスの評価手順と基本的に同じであり、一般的には、(1)業務フローの理解・整理、(2)リスクの識別、(3)コントロールの識別、(4)コントロールの評価(整備状況・運用状況の評価)といった手順で行われます。
留意事項についても、基本的にその他の業務プロセスと同様なので、第5回:その他の業務プロセスのQ&Aを参考にしてください。
Q30で述べたようにITに係る全般統制の整備状況については毎期、評価が必要ですが、運用状況の評価については、今回の実施基準の改訂により、次の要件を充足した場合には、前年度の運用状況の評価結果を利用できるとされました(改訂実施基準II.3.(3)⑤ニa.)。
ITに係る全般統制の不備は、財務報告の重要な事項に虚偽記載が発生するリスクに直接につながるものではないため、直ちに開示すべき重要な不備と評価されるものではありません。しかし、ITに係る全般統制に不備があった場合には、たとえITに係る業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があり、虚偽記載が発生するリスクが高まることとなります。従って、IT全般統制に不備がある場合には、IT全般統制の不備の程度ならびにITに係る業務処理統制に与える影響を勘案し、ITに係る業務処理統制の運用状況評価に対する十分な心証形成ができるよう、サンプル件数、テスト対象期間、ロールフォワード手続等を決定していく必要があります。
また、ITに係る全般統制は、ITに係る業務処理統制が有効に機能する環境を保証するための統制活動であり、仮に、全般統制に不備があった場合には、たとえ業務処理統制が有効に機能するように整備されていたとしても、その有効な運用を継続的に維持することができない可能性があるとされています。従って、全般統制に不備が発見された場合には、不備の程度ならびITに係る業務処理統制に与える影響を勘案し、必要に応じすみやかに改善することが求められます。
通常、ITに係る全般統制に係る不備を一覧表として集計し、不備の程度やITに係る業務処理統制に与える影響の程度等に応じて改善計画を作成します。急な改善を要しない軽微な不備であれば、中長期的な改善計画の中で改善していくこともあるでしょう。また、システムの性質上、短期の改善が困難な場合には、補完的統制を設けることで当面の間、対応することもあるかもしれません。
監査人は、会社の策定した改善計画について説明を受け、改善に向けた前向きな意思が反映された計画であるかどうかの判断をします。経営者が不備の改善に対し前向きに取り組む計画を立て、会社の状況の変化に応じて適宜計画を見直しながら、計画に従って不備の改善を実施しているのであれば、たとえ不備の一部について改善が未了であっても「不備が改善されずに放置されている」状況には該当しないものと判断が可能です。
内部統制