ＩＴ委員会研究報告第35号 「ＩＴに係る内部統制の枠組み」 - accounting @ ウィキ

ＩＴ委員会研究報告第35号

 

ＩＴに係る内部統制の枠組み

～自動化された業務処理統制等と全般統制～

 
平成20年１月21日
日本公認会計士協会
 
－目　　次－

Ⅰ　本研究報告の目的

本研究報告は、ＩＴに係る内部統制の概念の理論的な整理を目的としている。ＩＴの利用が進んでいる昨今においては、ＩＴに係る内部統制の明確な理論的枠組みが求められている。そして、ＩＴに係る内部統制がどのように財務諸表に影響するかについて理解し、関連するリスクを正しく評価することが必要である。本研究報告は、ＩＴに係る内部統制の枠組みを明らかにするために、「Ⅱ
財務諸表監査におけるＩＴと内部統制」、「Ⅲ
自動化された業務処理統制等」、「Ⅳ 全般統制」の３節の構成とした。
「Ⅱ 財務諸表監査におけるＩＴと内部統制」では、ＩＴの利用の方法や程度により、内部統制が影響を受けることを例示的に示した。
「Ⅲ 自動化された業務処理統制等」では、業務処理統制におけるＩＴに係る内部統制の内容を明確にした。
「Ⅳ 全般統制」では、自動化された業務処理統制等と全般統制との関係がより明らかになるように努めた。
なお、本研究報告は、国際監査基準又は監査基準委員会報告書に準拠することを基本方針としている。
 

Ⅱ　財務諸表監査におけるＩＴと内部統制

情報システムは、ハードウェア、ソフトウェア、管理者と利用者、及び手続と情報から構成される。多くの情報システムは、ＩＴを幅広く使用している。ＩＴの利用の方法や程度に応じて、内部統制に影響が及ぶことになる。このような影響としては、次のような例がある。

• ユーザ部門で入力したデータが自動仕訳され、帳簿に即時に反映されるような情報システムでは、手作業による結果のチェックが存在しない場合、自動仕訳の信頼性を確保することが内部統制上重要となる。
• サプライチェーンマネジメント（ＳＣＭ）、あるいは企業間（ＢtoＢ）又は企業対消費者間（ＢtoＣ）の電子商取引システムのように、ネットワークを活用して情報活用の局面などにＩＴを利用する場合には、企業外から接続されるデータの信頼性を確保することが内部統制上重要となる。
• 電子メール、社内の電子申請などのコミュニケーションツール及びこれを活用した業務に電子承認を利用する場合には、電子承認の機能の信頼性を確保することが内部統制上重要となる。

一般に情報システムには、業務処理を大量、迅速かつ正確に処理する特質があり、ＩＴを高度に利用した情報システムでは、企業内にとどまらないグローバルな運用、手作業や人の判断を伴わない処理の自動化等を実現している。
それに伴い、内部統制が対応すべき新たなリスクがもたらされることになる。監査人はこのようなリスクについて留意するとともに、それが自動化された業務処理統制等と全般統制にどのように影響しているか理解を深めなければならない。
 

Ⅲ  自動化された業務処理統制等

１．自動化された業務処理統制等の意義

ＩＴを利用した業務処理における内部統制は、予めプログラムに組み込まれている自動化された業務処理統制等と手作業による内部統制の組み合わせから構成されている。自動化された業務処理統制等は財務情報を支える重要な機能を果たすと考えられるため、本節で詳細に検討することにした。本節では、自動化された業務処理統制等をその性格から次の三つに区分した。これらは、全般統制により支援されるＩＴにより自動化された機能である。
(1) 自動化された業務処理統制
(2) 自動化された会計処理手続
(3) 手作業の統制に利用されるシステムから自動生成された情報
 

２．自動化された業務処理統制等と全般統制

(1) 自動化された業務処理統制
① 自動化された業務処理統制の意義
自動化された業務処理統制とは、情報の正確性、網羅性、適時性、正当性等の達成のためにアプリケーションシステムに組み込まれた内部統制である。
例えば、アプリケーションシステムには、入力データの正確性を確かめるためにデザインされたエディットチェック機能が搭載されている場合が多い。
当該機能には、例えば、フォーマットチェック（日付項目又は数値項目等のデータ形式チェック等）、実在性チェック（顧客マスターファイルに顧客レコードが実在することのチェック等）、妥当性チェック（支払限度額のチェック等）の機能が搭載される。
② 自動化された業務処理統制と全般統制の関係
全般統制の有効性は、自動化された業務処理統制が継続的に有効に機能しているという心証を与える。したがって、ある自動化された業務処理統制を支える全般統制が有効に機能していない場合、その自動化された業務処理統制が意図されたとおりに継続的に運用されているという心証を、全般統制以外の方法で得なければ、その自動化された統制活動が有効に機能していたとはいえないことになる。
例えば、全般統制の対象項目であるプログラム変更管理に不備がある場合（プログラムテストがなされていない場合等）、自動化された業務処理統制を実行するプログラムの正確性・正当性に疑義が生じることになる。
また、全般統制の対象項目であるアクセス管理に不備がある場合、自動化された業務処理統制を実行するプログラム又はデータが不正に変更される可能性があるため、自動化された業務処理統制が期待されたとおりに機能しない可能性が生じることになる。
(2) 自動化された会計処理手続
① 自動化された会計処理手続の意義
自動化された会計処理手続とは、計算、分類、見積、その他会計処理を人間に代
わりアプリケーションシステムが行う手続である。例えば、アプリケーションシステムが行う自動仕訳や自動集計などは、自動化された会計処理手続である。
② 自動化された会計処理手続と全般統制の関係
このような自動化された会計処理手続は、自動化された業務処理統制と同様に全般統制によりプログラムやアクセス権限等が適切に管理されていなければ、継続的な処理を期待することができない。そのため、全般統制の有効性を前提とする以外の方法で心証を得なければ、その自動化された会計処理手続が継続的に有効に機能していたとはいえないことになる。
(3) 手作業の統制に利用されるシステムから自動生成された情報
① 手作業の統制に利用されるシステムから自動生成された情報の意義
手作業の統制に利用されるシステムから自動生成された情報とは、情報システム
から出力された情報を利用して手作業による統制活動として実施する場合のその情報をいう。例えば、一定の基準を超える取引の集計リスト、売掛金の年齢調べのリスト等がある。
情報システムから自動生成された情報が会社の重要な手作業の業務処理統制のために利用されている場合には、監査人は、その情報の信頼性を評価する必要がある。例えば、その情報に含まれるデータが漏れなく完全であり、正確であるということについて監査人は、評価する必要がある。
② 情報システムから自動生成された情報と全般統制との関係
全般統制の有効性は、自動生成された情報が、ある時点において意図されたとお
りに作成されていたならば、その前後においても同様に作成されているという心証を与える。したがって、ある自動生成された情報を支える全般統制が有効に機能していない場合、その自動生成された情報が意図されたとおりに継続的に生成されているという心証は得られない。そのため、全般統制の有効性を前提とする以外の方法で心証を得なければ、その自動生成された情報が継続的に有効に生成されていたとはいえないことになる。
(4) 自動化された業務処理統制等の例
自動化された業務処理統制等には、下記のようなものがある。
① 自動化された業務処理統制の例示

• 取引データの入力時の項目網羅性チェックのように、入力が必須とされている全ての項目が入力されていることを確認し、全ての項目が入力されていない場合には入力データを受けつけない機能
• 画面入力時のプルダウンメニューのように、入力可能な項目が入力画面に表示され、その中から該当項目を選択することにより、事前に登録されている項目以外の内容の入力を不可にする機能
• 受注データの入力時の単価チェックのように、取引データの入力時又は処理時に、事前に登録されているマスターファイル上の項目と入力された項目との突合が行われ、一致しない場合には入力データを受けつけない、あるいは、次処理を中止する機能
• 端末メニューの使用制限のように、処理担当者に許可された業務内容に応じた操作権限をＩＤに事前に付与し、このＩＤ使用者をパスワードや生体認証情報により認証することにより、許可された処理担当者とみなす機能
• バッチトータルチェックのように、システム間のデータ接続処理（インターフェイス）において、データ出力側で把握されているデータ件数等とデータ入力側で把握されるデータ件数等が整合していることを確認し、整合しない場合には入力されたデータ処理を中止するといったシステム上の機能

② 自動化された会計処理手続の例示

• 登録済みの固定資産マスターデータに基づいて行われる減価償却費の計算処理機能
• 各種の原価データ及び棚卸資産データに基づいて行われる棚卸原価の計算処理機能
• 入力された仕訳データが、事前に登録されている仕訳パターンに従って自動的に会計仕訳を行う機能
• 一定期間に入力された仕訳データについて、特定の処理コード（例えば、勘定科目コード）毎に合計金額を計算する機能

③ 手作業の統制に利用されるシステムから自動生成された情報の例示

• エラーリストや例外リストのように、処理過程の途中において、事前に定められている一定の条件に合致する取引データについて、継続処理を中断して、あるいは、継続して実施する処理とは別に対象データを出力した情報
• 支払に関する業務システムにおいて、事前に登録されている金額を超える支払データのみを抽出して出力した情報

ある時点における売掛金残高について、その残高を構成する取引データの発生時期とその金額を時系列で表示した年齢調べレポートを出力した情報

• 一定期間に入力された仕訳データより事前に登録された仕訳パターンに該当しない仕訳データを出力した情報 

(5) 自動化された業務処理統制等のモニタリング
自動化された業務処理統制等のモニタリングについては、全般統制として実施されていることが多い。例えば、自動化された会計処理手続である一つのプログラムの停止は、全般統制の運用管理手続の障害管理としてモニタリングが実施されている。
 

Ⅳ 全般統制

１．意義

全般統制は、企業の自動化された業務処理統制等が、経営者の意図したとおり整備され、継続的に運用されることを支援するための仕組み、活動である。
      自動化された業務処理統制等は、一つのアプリケーションシステムの中に複数の機能として存在するが、それらは一体的に整備、運用されることが多い。例えば、販売管理システムにおける受注情報入力において、販売単価及び受注数量によりなされる売上高の計算は自動化された会計処理手続であるが、これと一連のプロセスとして実行される販売単価のマスター登録情報との照合、受注数量が想定した上限量を超えていないことのプログラムによるチェック等は、自動化された業務処理統制である。
したがって、全般統制は、一つ又は複数のアプリケーションシステムに含まれている自動化された業務処理統制等が正しく維持されることを支援するために、会計期間を通して有効であることが必要である。
 

２．全般統制の適用範囲

全般統制の適用範囲の決定は下記のような手順に従って行われる。
(1)
自動化された業務処理統制等がある場合は、当該機能を提供するアプリケーション
システムを特定する。
(2)
当該アプリケーションシステムが依存している全般統制を対象とする。
全般統制は企業のシステム構成によりその範囲が異なってくるため、監査人は全般統制の適用範囲を識別するため、システム構成の実態を検討する必要がある。
① 企業が大型汎用コンピュータを中心とするホスト系システムを利用している場合、全般統制は、主にソフトウェアの開発、変更、運用等というプログラムに関する統制活動が対象となる。
②
企業がクライアントサーバシステムを利用している場合、アプリケーションシステムごとに担当が異なっている可能性があり、ＩＴに関する専門部署以外の複数のユーザ部署が全般統制の対象となることがある。
③
Ｗｅｂアプリケーションを利用しているなど、ネットワーク上でプログラムやデータが流れている場合には、個々のアプリケーションシステムに対する、開発、変更、運用等といった全般統制だけではなく、ネットワーク全体の運用・管理まで一体とした統制活動としての全般統制が対象となる。
④ 企業外に開かれた接続環境が実現されている場合、その企業の支配力が直接及ばない範囲も管理の対象として考慮する必要が生じる。ＥＤＩやインターネットを通じて、
企業外部からデータが入力され、出力される環境においては、ハードウェアやソフトウェアも、他の企業や個人の支配下にあるため、企業外における全般統制の適用状況が全般統制の適用範囲となる可能性がある。
 

３．全般統制のリスク評価

全般統制のリスク評価においては、ＩＴ特有のリスク、つまり自動化された業務処理統制
等の有効性を脅かすリスクについて考慮する。
   
このリスクとして下記のようなものがあげられる。

• ＩＴに関わる開発管理手続が十分に整備、運用されず、経営者の意図した、自動化された業務処理統制等が適切に整備されない。
• ＩＴに関わる変更管理手続が十分に整備、運用されず、経営者の意図した、自動化された業務処理統制等が適切に整備されない。
• ＩＴに関わる運用管理手続が十分に整備、運用されず、自動化された業務処理統制等が適切に稼動しない。
• ＩＴに関わる情報セキュリティ管理手続が十分に整備、運用されず、業務処理における自動化された内部統制が無視されたり、バイパスされたりするような方法で、内部統制が無効化される。

 

４．統制目標

    全般統制の目的は、自動化された業務処理統制等、すなわち自動化された会計処理手続
及び自動化された業務処理統制等を企業の経営者の意図したとおり整備、稼動させるため
の支援にある。
前述の「３．全般統制のリスク評価」で想定したリスクの軽減、リスクへの対応を検討
すれば、全般統制の統制目標は次のようなものである。

• プログラムの開発管理を適切に行う。
• プログラムの変更管理を適切に行う。
• コンピュータの運用管理を適切に行う。
• プログラムとデータの情報セキュリティ管理を適切に行う。

 

５．具体的例示

   
統制目標に従って全般統制の具体例を示せば次のようなものである。
(1) プログラムの開発管理
①
システム開発部署とシステム運用部署が分離している。
②
システム開発規程が制定されている。
③
システム開発規程が遵守され、遵守証跡が作成される。
④
システムの新規開発について取締役会等の承認を要する。
⑤
開発プログラムは、開発過程の適切なフェイズごとに開発プログラムから独立の立場にある者のレビューを受ける。
⑥
購入システム、開発システムについてテストが実施され、機能が確かめられる。
⑦
本番登録以前に利用部門の承認を受ける。
(2) プログラムの変更管理
①
システム変更担当部署とシステム運用部署が分離している。
②
システム変更規程が制定されている。
③
システム変更規程が遵守され、遵守証跡が作成される。
④
システム変更について利用部門の承認を要する。
⑤
変更対象プログラムは、変更過程の適切なフェィズごとに変更プログラムから独立の立場にある者の独立レビューを受ける。
⑥
変更対象システムについてテストが実施され、機能が確かめられる。
⑦
本番登録以前に利用部門の承認を受ける。
(3) コンピュータの運用管理
①
システム変更担当部署とシステム運用部署が分離している。　
②
システム運用規程が制定されている。
③
システム運用規程が遵守され、遵守証跡が作成される。
④
システムは責任者が承認したジョブスケジュールに基づき自動運用がなされる。
⑤
スケジュールに基づかない臨時ジョブには責任者の個別承認を要する。
⑥
システム運用についてオペレータ監視がある。
⑦
ライブラリ、データのバージョン管理がなされる。
⑧
バッチジョブ、データインターフェイスについては、コントロールトータルを組み込み運用される。
⑨
業務プログラムにはエラー処理、リカバリー処理を組み込むことが定型化されている。
⑩
必要なバックアップデータが保管される。
(4) プログラムとデータの情報セキュリティ管理
  
     ①
情報セキュリティポリシー、規程が制定されている。
②
開発変更環境、運用環境のユーザ権限の登録が適切に実施されている。
③
本番稼動しているプログラム及びデータへのＯＳレベルのアクセスが制限されている。
④
本番稼動しているプログラム及びデータへのデータベースレベルのアクセスが制限されている。
 
６．全般統制のモニタリング
ＩＴ担当部門及びＩＴ担当者によって実施される全般統制に関するモニタリングは、下記
のようなものがある。
(1) 開発管理、変更管理、運用管理、セキュリティ管理に関して、それぞれの担当部署による定期的な規程の遵守状況についての自主点検がなされる。結果について管理者に通知され、必要に応じて是正措置がとられる。
(2) 開発変更案件の完了一定期間後に、ドキュメント作成状況、障害発生状況の分析が実施される。結果について管理者に通知され、必要に応じて是正措置がとられる。
(3) システム障害報告を定期的に集計分析し、結果が関係部署責任者に連絡され、必要に応じて是正措置がとられる。
(4) アクセスコントロールツールが保持する開発端末機アクセス違反情報を定期的に集計分析し、結果について責任者に注意を促し、必要に応じて勧告等の措置がとられる。
 
７．全般統制に不備が存在する場合
全般統制は、自動化された業務処理統制等を適切に継続して機能させるための仕組み、活
動である。したがって、全般統制が十分に整備されていない場合、あるいは有効に運用されていない場合には、自動化された業務処理統制等は、適切に機能しないリスク、継続して運用されないリスクが高まる。例えば全般統制が有効でなければ、一時点で一つの自動化された業務処理統制等が有効に機能していても、その時点を含む一定期間を通して内部統制の有効性を信頼することができないことがある。また、全般統制は、複数のアプリケーションシステムあるいは、複数の自動化された業務処理統制等を支えているため、全般統制が有効でない場合には、多数の自動化された業務処理統制等の有効性を監査人は信頼できない場合がある。
    全般統制に不備が存在する場合には、その発見された個々の不備について全般統制のリス
クの大きさと頻度を評価する。発見された不備が複数存在する場合には、個々のリスクを評
価することに加えて、それらが全体として影響する程度を評価して、全般統制を信頼するこ
とができるかどうか評価する。
    最終的に全般統制が信頼できないと判断した場合には、監査人は全般統制の有効性を前提
とせずに、自動化された業務処理統制等に依拠できるかどうかについて検討しなければなら
ない。
 
８．全般統制に変更があった場合の有効性検証の意味
全般統制の有効性は、統制環境の変更によって変化する。すなわち、組織、その構成員た
る責任者、担当者の交代、ハードウェアの構成の更新などにより、全般統制は影響を受ける。特に手作業による全般統制は構成員の交代及びその繁忙その他の理由から安定的でない性格を有する。そのため、全般統制の有効性の評価は毎期実施することが必要となる。
自動化された業務処理統制等の整備、運用状況については、それと関連する全般統制の有
効性により支援されるため、全般統制に変更があった場合には、改めて変更後の全般統制についてその有効性を検証しなければならない。また、全般統制のテストを実施した後から期末日までの間に、全般統制の重要な変更がないことを確かめなければならない。全般統制のテストを実施した後から期末日までの間に、全般統制の重要な変更が存在した場合には、新たに全般統制の有効性の評価を実施する必要がある。
また、新規に会計監査を実施する企業において、前期以前に開発完了したシステムの自動化された業務処理統制等については整備、運用状況の有効性の評価を初年度に実施し、それに関連する全般統制の有効性評価は変更管理、システム運用、プログラムとデータへのアクセス制限について実施する。
 
９．エンドユーザコンピューティング（ＥＵＣ）とスプレッドシート
    全般統制は、集中型のシステムにおいても、分散型のシステムにおいても会計に係るアプ
リケーションシステムであれば基本的に要請される。会計に係るアプリケーションシステム
では、ＩＴ部門によりプログラムの変更、オペレーション及び本稼動環境におけるプログラ
ムとデータが適切に保護されるべきである。
しかし、最近は、ＩＴ部門による管理が十分に行き届かないようなＥＵＣ及びスプレッド
シートによる会計処理が増えている。ＥＵＣは、会計データを加工用のデータベースにダウ
ンロードして保管し、会計処理に必要なレポート等をこのデータベースのデータを加工して
作成することを可能にする。また、スプレッドシートとは、会計処理の計算や集計を行うた
めに利用する表計算ソフトである。
ＥＵＣやスプレッドシートには、ワープロ的な文書作成や単純な集計のみを行うような手
作業に近い使い方から、複雑な割引現在価値を求めるような計算を行うような通常のコンピュータの自動計算と同じような処理を行うものまで、その使い方は様々である。その使い方により自動化された業務処理統制等と同じようなＩＴ特有のリスクが存在する場合には、ＩＴ特有のリスクを低減するために、リスクを低減させる内部統制が必要である。例えば、ＥＵＣにおいて自動化された業務処理統制等が高度に利用されている場合には、全般統制が整備、運用されることを検討すべきであり、ＥＵＣの内部統制について全般統制を考慮せず自動化された業務処理統制等のみを対象とするのは適切ではない。
ただし、ＥＵＣやスプレッドシートは、ＩＴ部門が直接係ることが少ないため全般統制が整備されないことも多いが、スプレッドシートについては、作成者以外の再計算等の手作業の統制で十分な場合もある。
 
10．外部委託業務に係る全般統制の有効性の評価
企業が業務処理を企業外部に委託している場合等においては、企業の内部統制は外部委託先にも存在することになる。この場合、企業は委託者としての範囲において、外部委託先に全般統制及び自動化された業務処理統制等を有するため、委託者は全般統制及び自動化された業務処理統制等の有効性の評価について検討しなければならない。委託者である企業側の内部統制だけで有効な内部統制を構築できる場合には、委託先の内部統制の評価を行う必要はない。しかし、委託者である企業側の内部統制が十分な機能をもっていない場合には、委託先の内部統制が重要となる場合がある。このような場合において、委託先の内部統制として自動化された業務処理統制等が重要な場合には、外部委託されている業務に係る自動化された業務処理統制等の有効性に関する評価だけでなく、当該自動化された業務処理統制等に係る全般統制の有効性の評価も必要となる。
外部委託されている業務に係る全般統制の有効性の評価は、監査人が自ら委託先の全般統
制を評価する場合の他、別途実施した内部統制評価に関する報告書を入手して監査人自らのテストに代える方法もある。