検索
連載

日本版SOX法 実施基準HTML版[IT関連部分](7/9 ページ)

[@IT情報マネジメント編集部,@IT] PC用表示
Share
Tweet
LINE
Hatena
前のページへ | 次のページへ

6. 「ITの統制」の評価

p.79
財務報告に係る内部統制の評価及び監査の基準
II. 財務報告に係る内部統制の評価及び報告
3. 財務報告に係る内部統制の評価の方法
(3)業務プロセスに係る内部統制の評価
[5] ITを利用した内部統制の評価

イ.ITを利用した内部統制の評価

 情報システムにITが利用されている場合は、通常、情報は種々の業務システムで処理、作成され、その情報が会計システムに反映される。したがって、経営者は、こうした業務システムや会計システムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。この内部統制には、コンピュータ・プログラムに組み込まれて自動化されている内部統制、人手とコンピュータ処理が一体となって機能している内部統制がある。

 また、ITの統制は、全般統制業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。

ロ.評価範囲の決定

a. 業務プロセスとシステムの範囲

 財務報告に係るITの評価では、まず、財務報告に係る内部統制に関連するシステムの対象範囲を明確にする必要がある。業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程を確認する際に、財務諸表の重要な勘定科目がどのような業務プロセス及びシステムと関連しているか、システムの機能の概要、どの部署で利用されているか等について整理する。

 その際には、各業務プロセスにおいて用いる業務プロセスにおける取引の発生から集計、記帳といった会計処理の過程の整理に加えて、システム間のデータの流れ等を、必要に応じ図や表を活用して把握・整理し、また各業務プロセスで使用されているシステムの一覧を作成することが有用である。

(注)前述の>参考2(業務の流れ図(例))においては、右列にシステムに関する流れの欄を設け、この点につき記載できるようになっている。

b. IT基盤の把握

 各業務プロセスにおけるシステムの把握に加えて、それを支援するIT基盤の概要を把握する。例えば、以下のような項目について把握する。

  • ITに関与する組織の構成
  • ITに関する規程、手順書等
  • ハードウェアの構成
  • 基本ソフトウェアの構成
  • ネットワークの構成
  • 外部委託の状況

ハ.評価単位の識別

 ITに係る全般統制は、IT基盤の概要をもとに評価単位を識別し、評価を行う。例えば、自社開発の販売、購買、物流のシステムについては、システム部が管理し、会計システムについては、経理部が市販のパッケージ・ソフトウェアを導入・管理している場合、評価単位を「システム部」と「経理部」の2つとして識別する。

 一方、ITに係る業務処理統制の評価は、基本的には個々のシステム毎に行う必要があり、経営者は、必要に応じ流れ図等を利用して、各システムにおける業務処理統制を識別する。

(注)前述の参考2(業務の流れ図(例))においては、右列にシステムに関する流れの欄を設けており、例えば、これに対する注記の中で、あるいは業務記述書(例)を別途、作成する場合にはその中で、業務処理統制の内容について記述することが考えられる。

 下図は、販売取引における売上と入金の業務プロセス及び会計データとの関連を、一つの例として図式化したものである。企業の各業務プロセスは機能ごとに細分化され、その機能に基づいてシステム化される場合が多い。例えば、売上プロセスは、受注や出荷等の機能に分類され、必要に応じてシステム化される。

 経営者は、財務諸表の勘定科目と取引、業務プロセス及びシステムとの関係を理解し、主要な取引等について、どの会計データがどのシステムに依存しているのかを把握する必要がある。

p.82
財務報告に係る内部統制の評価及び監査の基準
II. 財務報告に係る内部統制の評価及び報告
3. 財務報告に係る内部統制の評価の方法
(3)業務プロセスに係る内部統制の評価
[5]ITを利用した内部統制の評価
ニ. ITを利用した内部統制の整備状況及び運用状況の有効性の評価
c.過年度の評価結果を利用できる場合財務報告に係る内部統制の評価及び監査の基準

 ITを利用した内部統制の評価は、ITを利用していない内部統制と同様に原則として毎期実施する必要がある。しかし、ITを利用して自動化された内部統制に関しては、一度内部統制が設定されると、変更やエラーが発生しない限り一貫して機能するという性質がある。したがって、経営者は、自動化された内部統制が過年度に内部統制の不備が発見されずに有効に運用されていると評価された場合、評価された時点から内部統制が変更されてないこと、障害・エラー等の不具合が発生していないこと、及び関連する全般統制の整備及び運用の状況を確認及び評価した結果、全般統制が有効に機能していると判断できる場合には、その結果を記録することで、当該評価結果を継続して利用することができる。

この項のサマリー(編集部)

 ITの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。

 評価範囲を判断するには、財務諸表の重要な勘定科目がどのような業務プロセスやシステムと関連しているか、システムの機能の概要、どの部署で利用されているかなどについて整理する。さらに、各業務プロセスにおけるシステムを支援するIT基盤の概要を把握する。

 「ITに係る全般統制」は、IT基盤の概要をもとに評価単位を識別し、評価を行う。一方、「ITに係る業務処理統制」の評価は、基本的には個々のシステム単位で行う必要がある。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ | 次のページへ
ページトップに戻る