ドクターQがお届けするIT統制ブログ　ITサプリ

J-SOX監査のスタートによって、システム管理者も公認会計士との定期協議が必要となってきました。そこで本シリーズでは定期協議をスムーズに進行させるために、「公認会計士の視点」を分かりやすく解説しています。

第7回目の今回は、公認会計士が着目する「ITリスク」に関して解説しましょう。果たして公認会計士は、具体的に何を原因として、ITリスク発生の可能性を感じるのでしょうか。公認会計士の着目点をクリアできれば、効果の高い内部統制が導入されているという認証を得ることができるはずです。

公認会計士が着目する、「ITリスク」

■公認会計士が想定する、ITリスク発生の前提条件

公認会計士は、まず「社内の業務アプリケーションを含む社内システムの現状」に対して着目します。特に重要なのは、運用マニュアルや管理ルールが整備され、実際に遵守されているか、という点です。万一、下記のような状況が発生している場合、深刻なITリスクが発生していると判定する傾向が見られます。また、より細かい監査を受けることになると予想されます。

1. 開発管理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
2. 変更管理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
3. 運用管理理状況が不十分なため、経営者が意図する業務処理統制が整備されておらず、機能を果たしていない。
4. 情報セキュリティ管理状況が不十分のため、内部統制が機能していない。

※公認会計士の会話では、運用マニュアルや管理ルールを総称して「手続」と呼ぶ傾向が見受けられます。定期協議の際、ご注意ください。

■公認会計士が掲げる、統制目標

前述のITリスク発生の前提条件を考慮すると、公認会計士の考える統制目標は次の4点です。いずれも、業務アプリケーションを含む社内システムにおける統制目標です。

1. アプリケーションシステムの開発管理を適切に実行する。
2. アプリケーションシステムの変更管理を適切に実行する。
3. アプリケーションシステム、クライアントPC、サーバを含めたシステム全体の運用管理を適切に実行する。
4. アプリケーションシステム、クライアントPC、機密ファイルなどの情報セキュリティ管理を適切に実行する。

いかがでしょうか、次回も引き続き公認会計士が考える、具体的な統制効果チェックポイントをご紹介します。
Dr.QがITサプリをお届けしました。次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。