監査基準委員会報告書315 †
情報処理統制 †
- 情報処理統制とは、情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制
- 情報処理統制は、企業の情報に関する方針が有効に適用されるための処理又は手続であり、自動化されている場合(すなわち、ITアプリケーションに組み込まれている。)と手作業の場合(例えば、インプット又はアウトプットに係る内部統制)があり、他の情報処理統制やIT全般統制を含む他の内部統制に依拠することがあるとされている
情報インテグリティ †
情報のインテグリティとは、取引データ等の
であって、これらを阻害するリスクを直接低減するコントロールの例としては
- 網羅性:インターフェイス処理における件数チェック
- 正確性:マスタ参照チェック
- 正当性:認証と権限制御
がある
IT全般統制 (ITGC: IT General Control) †
- IT全般統制とは、IT環境の継続的かつ適切な運用を支援する企業のITプロセスに係る内部統制
- 具体的には、アクセス権管理のプロセス、プログラムや他のIT環境への変更を管理するためのプロセス、IT業務を管理するプロセスといったITプロセスに係る、ITを利用した情報システムの運用・管理に関する統制活動のこと
- 経営者が財務報告において依拠する内部統制が自動化されている程度が高いほど、自動化さ
れた情報処理統制の継続的な運用を支援するIT全般統制の適用は重要となる
システム開発・変更 †
システム運用 †
アクセス管理 †
アカウントの申請・発行 †
- 社員の入社・異動・退社に伴い、適切にアカウントの発行・変更・削除を行っている
アカウントの棚卸し †
- アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか
- また、その記録が保管されているか
ログのモニタリング †
- アクセスログを収集し、適切な項目をモニタリングしているか
外部委託管理 †
IT業務処理統制 (ITAC: IT Application Controls) †
入力情報の統制 †
例外処理の修正と再処理 †
マスタデータの維持管理 †
認証とアクセス管理 †
IPO †