付録9 ITコントロール目標記述例

付録9では、財務報告プロセスとその他のプロセス(重要業務プロセスとも言われる)に対するIT統制目標(ITコントロール目標)とアサーションの関係記述例を取り上げています。

この付録で取り上げる業務プロセスの範囲は、IT統制に係るほとんどの業務プロセスに亘る例示を提供しています。

財務報告プロセスのからは、「連結決算プロセス」、「個別決算プロセス」とその他のプロセス(重要業務プロセスとも言われています)では、「販売プロセス」、「購買プロセス」、「たな卸資産プロセス」、「固定資産プロセス」、「人事給与プロセス」、「仕訳計上プロセス」を事例を取り上げて記載しています。

各業務プロセスの業務処理ごとにリスクと統制活動、およびITコントロール目標と財務アサーションの関係を事例として整理していますので、参考にしてみましょう。


ここでは、財務報告プロセスの「連結決算プロセス」を取り上げて、ITコントロールとアサーションの関係の解説をします。

驚きますのは、全ての業務プロセスを業務処理単位に展開して例示していることです。
「連結決算プロセス」プロセスですと、その業務処理を順番に「マスタ登録」、「集計」、「開始仕訳」、「取引消去」、「修正仕訳」、「科目組替」、「報告」の7業務処理に整理しています。

この業務処理ごとに、且つIT統制目標(ITコントロール目標)の「正当性」、「完全性」、「正確性」、「維持継続性」に分類し、それぞれITコントロール目標に対するリスクと統制業務活動を記述しています。
例えば、「連結決算プロセス」での「マスタ登録」業務での“完全性(網羅性)”の項目では、リスクを“マスタの2重登録や不足がある”を例示で上げています。

このリスクに対する統制活動では“マスタ登録後にプルーフリストを出し、登録内容を確認する”と記述し対応させています。

「統制活動の評価」では、IT統制目標ごとにその監査としての評価すべきポイントの記述になっています。
同様に、「連結決算プロセス」での「マスタ登録」業務での“完全性”の項目を例に引用しますと、“プルーフリストによる確認が実施されていることを確かめる”を評価ポイントとして記述しています。

内部統制の最終目標である財務アサーションは、“網羅性、期間配分の適切性、表示の妥当性”に関係付けられた事項として例記します。
この記述はRCMの構築時の記述を表しています。最終的にRCMでの“統制評価手続”として監査時の記述を加えてRCMを完成することになります。

「システム管理基準 追補版」に対する追加付録(「追補版 追加付録」)の概要記述はこれで終了します。

次回からは、「SaaS向けSLAガイドライン(案)」のテーマに移ります。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする