監査基準委員会報告書315 †
情報処理統制 †
- 情報処理統制とは、情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制
- 情報処理統制は、企業の情報に関する方針が有効に適用されるための処理又は手続であり、自動化されている場合(すなわち、ITアプリケーションに組み込まれている。)と手作業の場合(例えば、インプット又はアウトプットに係る内部統制)があり、他の情報処理統制やIT全般統制を含む他の内部統制に依拠することがあるとされている
情報インテグリティ †
情報のインテグリティとは、取引データ等の
であって、これらを阻害するリスクを直接低減するコントロールの例としては
- 網羅性:インターフェイス処理における件数チェック
- 正確性:マスタ参照チェック
- 正当性:認証と権限制御
がある
IT全社的統制 (ITCLC: IT Company Level Controls) †
- 連結子会社を含む企業グループ全体のITを健全に維持・監督するための内部統制を意味します。
- 具体的には、企業グループ全体のITに関する方針やルール、体制を整備し、ITに関するリスクを評価して対応策を講じて統制活動を周知徹底させて、全社的な実施状況をモニタリングするという仕組みを構築することであり、その責任は経営者にあります。
IT全般統制 (ITGC: IT General Control) †
- ITGCとITACの関係。
- ITを用いた業務処理を有効に機能させる環境を整備し、信頼性を確保するための統制を指します。
- その基準として、「システムの開発・保守に係る管理」「システムの運用・管理」「内外からのアクセス管理等のシステムの安全性の確保」「外部委託に関する契約の管理」を評価対象の統制項目として挙げています。
- IT全般統制とは、IT環境の継続的かつ適切な運用を支援する企業のITプロセスに係る内部統制
- 具体的には、アクセス権管理のプロセス、プログラムや他のIT環境への変更を管理するためのプロセス、IT業務を管理するプロセスといったITプロセスに係る、ITを利用した情報システムの運用・管理に関する統制活動のこと
- 経営者が財務報告において依拠する内部統制が自動化されている程度が高いほど、自動化さ
れた情報処理統制の継続的な運用を支援するIT全般統制の適用は重要となる
システム開発・変更 †
システム運用 †
アクセス管理 †
アカウントの申請・発行 †
- 社員の入社・異動・退社に伴い、適切にアカウントの発行・変更・削除を行っている
アカウントの棚卸し †
- アカウントの点検を適宜実施し、長期間利用されていないアカウント等は削除しているか
- また、その記録が保管されているか
ログのモニタリング †
- アクセスログを収集し、適切な項目をモニタリングしているか
外部委託管理 †
構成管理 †
システム文書 †
開発計画書 †
- 書く内容
- 事業目的
- 市場が抱えている課題
- スコープ
- プロジェクト体制
- スケジュールと戦略
- 費用対効果
運用設計書 †
セキュリティ設計書 †
障害対策設計書 †
テスト設計書 †
IT業務処理統制 (ITAC: IT Application Controls) †
- 承認された業務がすべて正確に処理・記録するために業務プロセスに組み込んだ内部統制を表します。
- 情報を処理するシステムそのものではなく、処理が正確に行われているか、安全に行われているかを確認するものであり、手作業による入力確認や出力結果と伝票の照合など非ITによる業務処理統制とともに行われます
入力情報の統制 †
例外処理の修正と再処理 †
マスタデータの維持管理 †
認証とアクセス管理 †
IPO †