IT業務処理統制の評価

IT業務処理統制の評価 ITに係る内部統制

 業務プロセスで利用されるITシステムにおいて、財務情報の信頼性を保つように機能するためには統制が必要です。

 この統制には、プログラムに組み込まれて自動化された統制と、手作業とコンピュータ処理が一体となって機能している統制があります。

 また、これら統制はIT全般統制とIT業務処理統制の二つからなり、両者が有効に機能することが重要であるため、経営者は両方とも評価する必要があります。

 この記事では、IT業務処理統制の評価について簡単にまとめました。

※内部統制基準=「財務報告に係る内部統制の評価及び監査の基準」
※実施基準=「財務報告に係る内部統制の評価及び監査に関する実施基準」

評価範囲の決定

 IT業務処理統制の評価範囲として、IT全般統制と同様に、評価対象として選定された業務プロセス内においてIT業務処理統制を実行しているシステムが対象になります。

 業務プロセスを理解・構築等の際に作成される3点セット等を利用して、当該業務プロセスにおいて利用される業務システムを把握します。

 一般的には会計システムおよび会計システムにデータを引き渡すシステム(販売管理システム、購買管理システム等)が評価対象に該当すると考えられます。

 すべてのシステムを評価対象にすると評価作業の負担が膨大になるため、財務報告の信頼性の確保について、どのIT業務処理統制に係るシステムが担っているのかを見極める必要があります。

評価単位の識別

 評価単位において、ITに係る全般統制ではIT基盤の概要をもとに評価単位を識別しますが、IT業務処理統制の場合は、基本的に個々のシステム毎に評価を実施します。

 実施基準では、下図のように、取引、財務諸表の勘定科目、業務プロセスおよびシステムの関連を図式化したものを例示しています。

 このようにIT業務処理統制の評価では、どの会計データがどのシステムに依存しているかを把握する必要があります。

IT統制における評価単位の識別

整備・運用状況の評価

 業務プロセスに係る財務報告の虚偽記載リスクに対して、従来では人の手で行われていた統制について、コンピュータの普及によりITを利用して行うようになったものがIT業務処理統制です。

 そのため、3点セットのような業務プロセスに係る内部統制の文書化にあたっては、IT業務処理統制に関する情報もあわせて記載するのが望ましいといえます。

 同じく内部統制の有効性の評価においても、業務プロセスに係る内部統制の一環として実施するのが効率的です。

 なお、実施基準では、IT業務処理統制の整備・運用に係る有効性の評価について、具体的に以下のような点を挙げています。

  • 入力情報の完全性、正確性、正当性等が確保されているか。
  • エラーデータの修正と再処理の機能が確保されているか。
  • マスタ・データの正確性が確保されているか。
  • システムの利用に関する認証・操作範囲の限定など適切なアクセス管理がなされているか。

整備状況評価

 IT業務処理統制の整備状況の評価にあたっては、3点セット等の関連資料の閲覧等により、特に以下のような時点において適切にデータが扱われるようにプログラムが組み込まれているかを確認することが重要です。

  • 取引記録の終点となる「仕訳」
  • 業務システム等へ入力される際の「データの入り口」
  • 集計・転送等の「情報の変換点」

運用状況評価

 IT業務処理統制の運用状況の評価では、IT業務処理統制が設定されているキーコントロール(統制上の要点)についてサンプルを抽出します。

 ただし、IT全般統制が有効であると評価された場合、統計サンプリングは用いられず、IT業務処理統制の目的について1件のサンプルをテストすれば足りるとされています。

 プログラムとしてシステムに組み込まれたIT統制が同じ処理を繰り返すため、サンプルテストの結果から母集団のリスクを推定する必要がないからです。

 抽出したサンプルについて、システムに入力した情報と、プログラム処理後に出力した情報を見比べ、予想どおりの情報が出力されているかを資料の突合等により確認します。

過年度の評価結果の利用

 ITにより自動化された統制は、一度設定されるとエラーや変更が発生しない限り、一貫して機能するという性質があります。

 そのため、以下の状況に当てはまる場合、過年度の評価結果を継続して利用することができます。

  • 過年度に内部統制の不備が発見されず有効に運用されていると評価されたこと
  • 内部統制の有効性が評価された時点から内部統制の変更がないこと
  • 障害・エラー等の不具合が発生していないこと
  • 関連する全般統制の整備・運用において有効性が評価され、その結果が記録されていること
※なお、金融庁が2023年4月7日に公表した改訂実施基準(2024年4月1日以降開始事業年度より適用)では、過年度のIT業務処理統制の評価結果の利用について、IT環境の変化を踏まえて慎重に判断され、必要に応じて監査人と協議して行われるべきものであり、特定の年数を機械的に適用すべきものではないことについての記述が追加されています。

ITを活用した評価手法

 IT業務処理統制の評価手続では、情報が正しく入力・処理されていることを確認するために、前述のように3点セットを閲覧したり、入力・出力資料を突合するといった手法があります。

 しかし近年では、プログラムで自動化された統制について、ITを活用した評価手法が用いられるケースも増えているようです。

 ITを活用した代表的な評価手法として、以下のようなものがあります。

テストデータ法

 統制の目的に合わせて用意した取引のダミーデータを評価対象のアプリケーションシステムで処理し、その処理結果と期待される結果を比較する評価手法です。

 テストデータ法は、テスト環境に本番環境と同じシステムを用意してテストを実施する場合と、本番環境でテストを実施する場合があり、バッチ処理を行っているシステムで多く用いられます。

 もし本番環境でテストを実施する場合は、システム運用を一時的に中断しなければならず、また、ダミーデータが実際の取引データと混同しないように注意が必要です。

ITF法(統合テスト法)

 取引のダミーデータだけでなく、架空の事業所や部門等のダミーのマスタファイルを用意し、評価対象のアプリケーションシステムの中に架空のサブシステムを構築します。

 そのうえで取引のダミーデータを処理し、処理結果と期待される結果を比較する評価手法です。

 この方法では、本番環境の稼働中のシステムで、実際の取引データとダミーの取引データを同時に処理するため、テストデータ法のようにシステム運用を中断させる必要がありません。

 ただし、ダミーデータが実際の取引データの処理に影響を与えないよう、準備に十分注意しなければなりません。

並行シミュレーション法

 テストデータ法やITF法ではダミーの取引データを用いますが、並行シミュレーション法では、統制が適切に機能するようなシミュレーション・プログラムを準備します。

 実際の取引データをこのプログラムで処理し、その結果と評価対象のアプリケーションシステムでの処理結果を比較するテスト方法です。

 シミュレーション・プログラムを用意するため、時間やコストがかかりますが、ダミーの取引データを作成する必要がなく、またプログラムの再利用が可能です。

 ただし、サンプルとする実際の取引データは、統制の有効性評価に適したものを選択する必要があります。

IT業務処理統制の不備

 IT業務処理統制は、ともに評価される業務プロセスに係る内部統制と同様に、虚偽記載リスクを低減する最後の砦であるため、有効性評価の結果は財務報告の信頼性に直接影響を及ぼします。

 もしIT業務処理統制に不備がある場合は、影響の大きさと虚偽記載の発生可能性を評価し、「開示すべき重要な不備」に該当するか否かを検討することが求められます。

 なお、IT業務処理統制は、業務プロセスにおいてプログラムにより完全に自動化された統制だけでなく、手作業とコンピュータ処理が一体となって機能している統制も含まれます。

 よって、「開示すべき重要な不備」の検討の際には、不備の内容が人の手に係る部分から生じているものか、ITに係る部分から生じているものかも識別する必要があります。

 プログラムにより自動化された機能が同じ処理を繰り返すことにより、誤りも同様に繰り返されている可能性があるためです。

タイトルとURLをコピーしました