経産省 システム管理基準 追補版まとめ-5

今回はIT内部統制の第32回です。今回は第3章「IT統制の経営者評価」の9つの要約の続きです。

前回はそのポイントの4点まで述べましたので、残りの5点について述べておきましょう。

(5)「受託会社の選定基準」、「成果等の検収体制」、「受託会社の統制」を理解し、自社の統制に与える影響を評価

内部統制の対象の業務プロセスを委託している場合、経営者は「受託会社の選定基準」、「成果等の検収体制」、「受託会社の統制」を理解し、自社の統制に与える影響を評価することが求められます。

また、委託先と合意されているサービスレベルが適正に管理されていることを評価する必要性が出てきます。

(6)IT業務処理統制の評価はウォークスルー活動
IT業務処理統制は、IT統制の規定に沿って、財務報告目的のITにおける取引の開始から財務諸表作成までを追跡する活動で、この活動をウォークスルーの活動と言います。

(7)決算・財務報告プロセスと対象業務プロセスの把握
IT業務処理統制の中核に決算・財務報告プロセスがあります。親会社・子会社・関連会社の財務情報を集計して連結財務諸表作成に繋げていくプロセスです。

EXEL等でのスプレッドシート作業も統制も評価に組み込むことが求められています。

決算・財務報告以外のプロセスでは、関連する情報システムの概要及び財務情報の流れを把握することと、対象企業の正しい会計基準に従った準拠性を把握することも重要となります。

(8)IT処理統制の財務アサーションに対するITコントロール目標は「完全性」、「正確性」、「正当性」、「維持継続性」
この目標は IT業務処理統制が対象です。「完全性」は取引データが過不足なく網羅的に反映されること、「正確性」はエラーデータが適切に検出・修正されること、「正当性」は承認されたデータであることが保証されていることをいい、「維持継続性」は最新状態のデータ維持されていることをいいます。

(9)パッケージによる統制リスクの減少
“パッケージ機能を変更せずに利用している場合で、IT業務処理統制の機能を具備している場合には、業務の一貫性が確保され、照合手続が自動化され、例外事項報告書の作成や職務分掌の実施が容易となるので、リスクが限定される“といい、パッケージの使用を推奨しています。

以上で、今回は終わります。
次回は、「経産省 システム管理基準まとめ-6」 では第4章の要点を整理してみようと思います。