ドクターQがお届けするIT統制ブログ　ITサプリ

J-SOX監査のスタートによって、システム管理者も公認会計士との定期協議が必要となってきました。そこで本シリーズでは定期協議をスムーズに進行させるために、「公認会計士の視点」を分かりやすく解説しています。

第7回目の今回は、公認会計士が着目する「ITリスク」に関して解説しましょう。果たして公認会計士は、具体的に何を原因として、ITリスク発生の可能性を感じるのでしょうか。公認会計士の着目点をクリアできれば、効果の高い内部統制が導入されているという認証を得ることができるはずです。

公認会計士が着目する、「ITリスク」

■公認会計士が想定する、ITリスク発生の前提条件

公認会計士は、まず「社内の業務アプリケーションを含む社内システムの現状」に対して着目します。特に重要なのは、運用マニュアルや管理ルールが整備され、実際に遵守されているか、という点です。万一、下記のような状況が発生している場合、深刻なITリスクが発生していると判定する傾向が見られます。また、より細かい監査を受けることになると予想されます。

1. 開発管理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
2. 変更管理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
3. 運用管理理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
4. 情報セキュリティ管理状況が不十分のため、内部統制が機能していない。

※公認会計士の会話では、運用マニュアルや管理ルールを総称して「手続」と呼ぶ傾向が見受けられます。定期協議の際、ご注意ください。

■公認会計士が掲げる、統制目標

前述のITリスク発生の前提条件を考慮すると、公認会計士の考える統制目標は次の4点です。いずれも、業務アプリケーションを含む社内システムにおける統制目標です。

1. アプリケーションシステムの開発管理を適切に実行する。
2. アプリケーションシステムの変更管理を適切に実行する。
3. アプリケーションシステム、クライアントPC、サーバを含めたシステム全体の運用管理を適切に実行する。
4. アプリケーションシステム、クライアントPC、機密ファイルなどの情報セキュリティ管理を適切に実行する。

いかがでしょうか、次回も引き続き公認会計士が考える、具体的な統制効果チェックポイントをご紹介します。
Dr.QがITサプリをお届けしました。次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

今後、監査人である公認会計士との定期協議を、よりスムーズに進めていくために「会計士の視点」を解説している本シリーズ。今回は、公認会計士が考える重要な2つの概念に関して解説することにしましょう。万一、システム管理者のみなさんの現在の認識と差異があった場合は、要注意。監査人と協同で健全な企業風土を築いていくためにも、ぜひ公認会計士を深く理解することに努めてください。

今回は、前回の後編として公認会計士が考える「全般統制」についてご紹介します。

■公認会計士が考える全般統制

(1)全般統制の定義

ITを利用した業務処理統制が継続的に運用され、統制効果を確実に果たすことをサポートする仕組みを指します。つまりITでの円滑、かつ正確な業務をサポートするIT基盤です。

(2)統制対象となるIT基盤

公認会計士は具体的にどのようなIT基盤を統制対象と捕らえるのでしょうか。具体的には次の4点が対象となります。

◎プログラム開発
◎プログラム変更
◎システム運用・管理
◎プログラムおよびシステムへのアクセス管理

(3)全般統制の有効性チェックポイント

中でもシステム管理者のみなさんの職務に直結する、システム運用管理に関するチェックポイントを例示します。これらのポイントを中心に、公認会計士は全般統制の有効性を判断すると考えられます。ぜひ定期協議の前に、現状の全般統制の有効性をチェックしてください。

●システム運用業務に関する統制ポイント

• オペレータによる手動、または自動実行ツールなどによるプログラムの運用手順が確立、実行されている。
• システム上でエラー、不正が発生した場合、再処理方法を含めた対応手順が自動化を含め確立、実行されている。
• 部署別、業務別など、点在するLANの管理方法が確立、実行されている。
• クライアントPCのユーザに対する遠隔管理・サポートなどの体制が確立、実行されている。
• 企業外部からのインターネットなどを利用したデータ入力に対して、不正・誤謬の防止策が確立、実行されている。

●セキュリティに関する統制ポイント

• ID、パスワードなどによる理論的なアクセス管理が実施されている。
• システム管理室への入室制限を行っている。
• クライアントPCのセキュリティ環境は、セキュリティポリシを遵守している。
• システム、ネットワーク、クライアントPCにおいて、ハッキング対策およびウイルス対策を実施している。
• セキュリティに関して、定期的に社員教育を実施している。

●監視活動ポイント

• 定期的な内部監査結果をシステム改善に活用している。
• 内部監査の実施状況、問題点と改善状況を定期的に検討している。
• システム運用管理を外部に委託している場合、委託先のサービスレベルに関して定期的に検証を行っている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

今後、監査人である公認会計士との定期協議を、よりスムーズに進めていくために「会計士の視点」を解説している本シリーズ。今回は、公認会計士が考える重要な2つの概念に関して解説することにしましょう。万一、システム管理者のみなさんの現在の認識と差異があった場合は、要注意。監査人と協同で健全な企業風土を築いていくためにも、ぜひ公認会計士を深く理解することに努めてください。今回は、特に財務諸表監査にダイレクトに関係する2つの概念を重点的に解説します。

公認会計士が考える、「業務処理統制」と「全般統制」

J-SOX監査において、公認会計士の最大の責務は財務諸表監査です。つまり会計データに直接関係するシステムやアプリケーション、またそれらの基盤システムなどが最重視すべき統制範囲となります。「業務処理統制」と「全般統制」も、その統制範囲に含まれています。

■公認会計士が考える、業務処理統制

(1)業務処理統制の定義

販売管理や会計処理など個々の業務プロセスの中に組み込まれた、アプリケーションシステムに対する統制を指します。公認会計士が最重視するのは、生成される会計情報の正確性と信頼性を保証できる統制（≒仕組み）です。

(2)統制対象となる業務

では、公認会計士は具体的にどのような業務に対して、業務処理統制が必要だと考えているのでしょうか。具体的には、次のような業務を業務処理統制の対象範囲として重視する傾向があります。

◎販売管理業務
◎購買管理業務
◎在庫管理業務
◎給与計算業務
◎会計業務

(3)業務処理統制の有効性チェックポイント

公認会計士は、現状の業務処理統制の有効性を把握する際、具体的に次のようなポイントをチェックします。ぜひ定期協議の前に、現状の業務処理統制の有効性をチェックしてください。

●入力原票に関する統制
・承認プロセスを設定している。
・改ざん防止策が講じられている。
・適切に保管されている。

●データ入力に関する統制
・漏れ、重複、誤り防止策が講じられている。
・不正入力防止策が講じられている。

●入力データ処理に対する統制
・正確に処理されている。
・ファイル間の整合性が確保されている。
・システム間の整合性が確保されている。

●エラーデータに関する統制
・適切に修正されている。
・適切に再処理されている。
・エラーデータに対して定期的に分析を行っている。

●アウトプットデータに関する統制
・出力帳票が正確に出力されている。
・出力帳票が適切に配布・保存されている。

●マスターデータに関する統制
・正確に、漏れなく更新されている。

●データアクセスに関する統制
・権限のある者以外、アプリケーションシステムにアクセスできない。
・適切な権限設定がされている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

J-SOXの実質施行によって、企業は公認会計士など外部監査人との定期的な協議が不可欠な状況になっています。定期協議において、今後ますます果たすべき役割が大きくなるのが、実はシステム管理者。J-SOX監査用に、システム管理者が用意・提出すべき資料やデータがますます増加する傾向にあります。そこで、本シリーズでは公認会計士がJ-SOX監査で着目するポイントを分かりやすく解説しています。

『財務諸表監査の一環として、ITインフラの現状報告も必須に』のブログ掲載後、「そもそも……」という質問をたくさんいただきました。引き続き今回も、これらの質問に関して解説します。

(3)そもそも、公認会計士が考えるモニタリングとは

外部監査人のみなさんが考えるモニタリングとは、具体的に次の3点と考えられます。3点を正確に把握できれば、不正行為の抑止力も高く、モニタリングの有効性が高いと判断される傾向にあるようです。

• コンプライアンスマニュアルやセキュリティポリシなど自社規程に則って、社内のITシステムの開発管理、変更管理、運用管理、セキュリティ管理が定期的に自主点検されている。また、自主点検の結果が管理者に確実に通知され、是正・改善が行われている。
• システムに関する障害情報などが3ヶ月ごとに集計分析されている。また、結果が関係部署責任者に確実に通知され、是正・改善が行われている。
• アクセスコントロールツールや不正監視ツールによって取得された違反情報が定期的に集計分析されている。また、結果が関係部署責任者に確実に通知され、是正・改善が行われている。

(4)そもそも、統制効果を高める運用管理のポイントとは

内部統制の有効性を高めるためには、システムの運用管理において次のようなポイントを重視することが重要となります。同時に、これらは外部監査人のみなさんのチェックポイントでもあります。クリアできれば、内部統制の有効性が高く評価されるでしょう。

●システム運用管理

• システム変更担当部署とシステム運用部署が分離している。
• システム運用規程が策定されている。
• システム運用における規程遵守証跡が作成されている。
• システム利用者（＝社員および取締役）の不正行為などに対するオペレータ監視、またオペレータ監視に相当する監視プログラムが導入されている。
• 業務プログラムには全ての体系別にエラー処理、リカバリー処理が組み込まれている。
• バックアップデータが適切に保管されている。

●情報セキュリティ管理

• セキュリティポリシなど自社規程が策定されている。
• 開発環境、システム運用管理環境において、各担当者のユーザ権限が適切に管理されている。
• 本稼動しているシステムに対してクライアントPCがアクセスする際、ソフトウェアやOSのセキュリティレベルに応じてアクセス制限を行っている。
• 本稼動しているシステムに対してクライアントPCがアクセスする際、利用者の所属や業務などに応じてアクセス制限を行っている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。