日本版SOX法

Q.ITアプリケーションコントロールについて教えてください。

A.まず、データの移動に関し、基幹系システムに伝送でデータが入ってくる場合と、手で入力してシステムに投入している場合について述べます。
 オンラインで取引先からデータが入ってくる場合については、データのインタフェース箇所であることから、漏れがないかというリスクが認識されるのが一般的です。一方、手で入力する場合については、漏れがないかというリスク以外に、正しく入力されないというリスクが認識されます。
 データがシステムに漏れなく送られているかというコントロールとしては、システムに送った件数やエラーになった件数がプリントアウトされるように機能があったり、ログの記録でエラーになった件数が記録として残ったりするなら、問題ないといえます。ただし、システムには存在しない場合でも、マニュアルのコントロールとして、送った件数と受けた件数のやりとりがチェックされているなら、コントロールとして有効であると思われます。あらゆる統制機能がシステムに組み込まれている必要があるというわけではありません。コストと効率性の兼ね合いを熟考しなければなりません。

 また、基幹系システムの処理、プロセスの部分については、これが正しくなされているかがリスクとして認識されますが、システムの導入時や更新時に適切にテストしてバグを解消した上で活用しているものと考えられます。システムの場合にはそれ以後は常時同一の結果となる、すなわち正しく処理されますので、この部分についてはITの全般統制の評価に大きく依存していくこととなります。ファイルを適切に更新するというのも同様です。全般統制において当初システムを構築した際にいかなる評価をしていくのかに大きく依存します。

 データが基幹系システムから財務会計システムに伝送される場合については、上記の外部からの伝送の場合と同様のことがいえます。
 財務会計システムに直接手で入力しているものについては、そのコントロールが財務報告の信頼性を保つために最も重要です。具体的には、とりわけ決算整理伝票は、基本的に現場で作成されたデータを基に作られるのですが、経理部門で財務会計システムに直接登録されます。上流の方で正確性を担保するためいろいろなコントロールを活用して財務会計のデータを作り上げてきても、この部分で間違った伝票を一枚入れてしまうことによって、信頼性が失われてしまうこともあります。いかなる伝票が入っているか、だれが承認して入れているかが大切です。

関連記事

  1. Q.「財務報告に係る内部統制の評価及び監査に関する実施基準(公開…
  2. Q.財務報告に係る内部統制構築のプロセスについて、内部統制の報告…
  3. Q.業務処理統制の文書化に当たって、何を評価すればいいのでしょう…
  4. Q.リスクコントロールマトリックスに、コントロールとして「Aさん…
  5. Q.会社が実施しなければならない内部統制評価・報告の全体の流れを…
  6. Q.会社が実施する内部統制の評価は、どのように行えばいいのでしょ…
  7. Q.リスクコントロールマトリックスを作成する際には、具体的にはど…
  8. Q.内部統制とは何かについて教えてください。

ピックアップ記事

PAGE TOP