解説シリーズ 内部統制


内部統制の実務Q&A
第5回:「ITに係る業務処理統制」および「ITに係る全般統制」 (2008.08.21)

新日本有限責任監査法人 公認会計士 佐藤秀明
新日本有限責任監査法人 公認会計士 辰野 健
Q3.ITに係る業務処理統制の評価方法について
Answer

ITに係る業務処理統制が自動化されていたとしても、例えばソースコードやプログラム仕様書を読む、導入時のテスト結果を査閲する、ダミーデータを流してみるといった方法により評価することが必ずしも必要というわけではありません。財務報告に係る内部統制の有効性評価では、統制の有効性は<表1>のように本番環境を利用した検証手続で評価することも可能です。

また、ITに係る業務処理統制に関するテストは、ITに係る全般統制の評価が有効であれば、一貫した処理を反復継続する性質を有しているため、多くのサンプルをテストする必要はありません。

■表1 本番環境を利用した検証手続
ITに係る業務処理統制の例 ITに係る業務処理統制の概要 評価方法の例
自動転記(インターフェース) あるシステムから他のシステムへのデータ転送時に、必要なすべてのデータが正確に転送されることを保証する統制 転送元システムと転送先システムから、それぞれ帳票を出力して件数・金額などを照合する
アクセス制限 重要な機能、データへの不正なアクセスを防止する統制 実際に権限設定されていないメニューを使用できないかコンピューターの画面で確かめる
自動計算 計算が正確に実施されていることを保証する統制。自動計算については、自動化された計算自体が統制となる プログラムの計算結果を実際に手計算などを行い、自動計算の正確性を検証する
バリデーションチェック 入力、処理もしくは出力が不適切になるリスクを、さまざまな確認を行うことにより制限する統制 コンピューターの画面で販売枠を超える受注を入力し、リジェクトされることを確かめる
エディットチェック 入力、処理もしくは出力が不適切になるリスクを項目の属性で制限する統制 コンピューターの画面で入力できない項目を実際に入力し、リジェクトされることを確かめる

このページのトップ
前のページへ戻る