ITプロセス統制の要件-業務処理統制その1

今回は、「ITプロセス統制の要件」の中で、COBITの「業務処理統制」について、述べてみようと思います。

COBITでは、業務処理統制でのコントロール事項を5点挙げています。
「データの作成と認可」、「データの入力」、「データ処理」、「データ出力」、「境界」のコントロールです。日本版のIT統制では「境界」のコントロールはありません。

それぞれの統制すべき作業内容を規定しています。順番にみていきましょう。

(1)「データの作成と認可のコントロール」として、5項目のコントロール事項を挙げています。

★「AC1 データ準備手続」
インプットフォームの作成、データ作成処理にエラー処理手続を組み込み、入力
ミスや入力漏れの防止、不正データの発見、報告、訂正を可能にすることです。

★「AC2 原始帳票の認可手続」は、
原始帳票の作成と承認において職務分離が為されていることです。そのことに
より、データの妥当性を高めることが出来ます。

★「AC3 原始帳票のデータ収集」とは、
手続に沿って、承認された原始帳票が確実に網羅的且つ正確に、責任の所在が
明確で、遅滞なく、入力側の必要な場所へ送られることが保証されることです。

★「AC4 原始帳票のエラーの処理」とは、
データ作成処理にエラー処理手続を組み込み、入力ミスや不正なデータが適切に
発見、報告、および訂正できる手続があることです。

★「AC5 原始帳票の保持」は、データの修正や復元を、法的要件を満たすため、
元の原始帳票を保持し、確実に、適正時間内に再生できる手続が整備されること
を言います。

(2)「データの入力コントロール」では、3項目のコントロールを挙げています。
★「AC6 データ入力の認可手続」とは、
承認された要員のみが確実に入力する手続を保証する手続です。

★「AC7 正確性、網羅性、および認可のチェック」は、
処理トランザクションデータの正確性、網羅性、妥当性がチェックされる手続が
あることです。

★「AC8 データの入力のエラー処理」は、
誤入力されたデータの訂正と再送信に関する手続が整備・遵守されることを保証
することです。

経産省のIT統制のガイドと比較しますと、記述が細かくなっています。管理項目のレベルが処理レベルまで落ちています。

今回はここで終わります。

次回は、「ITプロセス統制の要件-業務処理統制その2」で、業務処理統制の続きを解説します。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする