IT統制への対応項目例、ITを利用した内部統制の評価の進め方について説明しています。

IPO 株式公開支援のイーコンサルタント
TOP
「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の第2章である【II:財務報告に係る内部統制の評価及び報告】にある(3)財務報告に係る内部統制の評価の方法の(3)業務プロセスに係る内部統制 について、詳細な説明を行います。
内部統制コンテンツ一覧   

内部統制制度の理解D.評価の方法

D-18.(5)-ITを利用した内部統制の評価(つづき)

ここで、本題に戻りまして、ITを利用した内部統制の評価について。

IT統制の「業務プロセスに係る内部統制」に入る前に、全社的な内部統制の観点から、実施基準では、ITへの対応の項目例として、次の事項が例示されています。

  • 経営者は、ITに関する適切な戦略、計画等を定めているか。
  • 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
  • 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
  • ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
  • 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。

次に、「ITを利用した内部統制の評価」の進め方ですが、実施基準には以下の通り記されています。

  1. 評価範囲の決定方法・手順
  2. 評価範囲の識別
  3. 整備状況および運用状況の評価

1.評価範囲の決定方法・手順

財務報告に係る内部統制に関連するシステムの対象範囲を明確化 業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理する。
その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用。
(実施基準にける参考例:業務の流れでは、上記=業務フローでは、上記(2)で作成する業務フローへ追記された形になっています。
IT基盤の把握
各業務プロセスにおけるシステムの把握に加えて、それを支援するIT基盤の概要を把握する。
<例>  
  • ITに関与する組織の構成
  • ITに関する規程、手順書等
  • ハードウェアの構成
  • 基本ソフトウェアの構成
  • ネットワークの構成
  • 外部委託の状況

2.評価範囲の識別

ITに係る全般統制は、IT基盤の概要をもとに評価単位を識別し、評価を行う。   
(例)自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理 している場合、評価単位を「システム部」と「経理部」の2つとして識別する。

ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別する。   
(注)上記(2)で作成した、業務記述書・業務フローに追記することも考えられる。
⇒経営者は、財務諸表の勘定科目と取引、業務プロセス及びシステムとの関係を理解し、主要な取引等について、どの会計データがどのシステムに依存しているのかを把握する必要があります。


3.整備状況および運用状況の評価

IT統制
全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続
 <具体例>
  ・ITの開発、保守に係る管理
  ・システムの運用・管理
  ・内外からのアクセス管理などシステムの安全性の確保
  ・外部委託に関する契約の管理
業務処理統制 業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制
 <具体例>
  ・入力情報の完全性、正確性、正当性等を確保する統制
  ・例外処理(エラー)の修正と再処理
  ・マスタ・データの維持管理
  ・システムの利用に関する認証、操作範囲の限定などアクセスの管理

(注)過年度の評価結果の利用 ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要があるとされていますが、ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質があり、したがって自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができるとされています。

経緯・求められるものへ
お問い合わせ - 会社概要 - プライバシーポリシー - サイトマップ
Copyright(C) e-consultant corporation inc. All rights reserved.