今回はITに係る業務処理統制についてのお話しです。
業務処理統制は、手作業によるものとITによるものがあります。ITによる業務処理統制は、業務プロセス統制の中に埋もれがちで、他の統制と比べてあまり意識されないことが多いので注意が必要です。よって今回はITに係る業務処理統制にフォーカスしてお伝えします。
ITに係る業務処理統制とその種類
はじめに、ITに係る業務処理統制とは、業務プロセスの中に組み込まれたシステムに関係する統制のことを言います。
ITに係る業務処理統制は、業務プロセス統制の中の手作業による統制と分け、内部統制の実施基準上も「ITに係る業務処理統制」と表現しています。
そのITに係る業務処理統制は、以下の通り大きく2種類あります。
①人手とシステムの処理が一体となった統制
②システムに組み込まれた自動化された機能
①の統制例としては、システムがエラーリストを作成・出力し、人がエラーの内容を確認するといったもので、手作業の統制と比較的近いのでイメージしやすいです。
②については、統制を4つに分類し、それぞれ例を挙げると以下の通りです。
1. エディットバリデーションチェック
~入力フォーマットをチェックする機能~
(例)受注登録欄に数値以外の情報は入力できない。
(例)入力すべき項目が入力されないと次のページへ進まない。
2. マッチング
~入力内容とマスタとの一致を確認する機能~
(例)在庫がないと引当や出荷がされない。
(例)入力した商品コードは商品マスタを参照し、商品マスタにないコードは受注登録ができない。
3. トータルチェック
~システムへの入力前後の合計値を照合する機能~
(例)システムへ取り込む前後でデータの件数や金額を照合する。
4. アクセスコントロール
~権限者を認証・識別する機能~
(例)ユーザのシステムへのアクセスが制限されている。
(例)パスワードの有効期限が到来し、変更しないとシステムへアクセスできない。
ITに係る業務処理統制のうち、システム内で自動化された機能例は他にも様々なものがありますが、前述のように4つの切り口で考えるとイメージしやすくなります。
ITに係る業務処理統制の構築ポイント
ITに係る業務処理統制とは何か?が分かったところで、次にITに係る業務処理統制の構築ポイントについて説明します。
ITに係る業務処理統制のうち人手とシステムの処理が一体となった統制は、手作業もしくはシステムどちらか一方のチェックだけではリスクをカバーできない場合に構築します。先ほどのエラーリストの例では、エラー表示はシステムを介した一次統制であり、システムは異常値を発見します。ただ、システムがイレギュラーな処理を行った可能性があり、そのままシステムに依存することができないと判断する場合は、人間によるチェックを行い二次統制をかけます。
一方ITに係る業務処理統制のうちシステム内で自動化された機能は、実務上内部統制のために構築するといったことは、自社でシステムを開発しない限りほとんどありません。
最近では、企業は調達したシステムを使用することがほとんどで、それには内部統制の要件を満たす自動機能がそもそも備わっている場合が大半です。
ITに係る業務処理統制は、あくまで業務プロセス統制の範疇なので、業務プロセスの中でどのような財務リスクがあるかを洗い出し、そのリスクを手作業、ITどちらの統制でカバーするかを考え、構築するのが重要なポイントです。
ITに係る業務処理統制の評価
続いてITに係る業務処理統制の評価とそのテスト方法についてお話しします。
ITに係る業務処理統制の評価では、業務プロセス統制の手作業による統制と同じ考え方に基づき、統制内容が実際に機能しているか証憑(証拠)を収集し確認します。
前述の統制例を基にそのテスト方法例を見ていきます。
①人手とシステムの処理が一体となった統制
(テスト方法)
エラーリストを閲覧し、担当者がシステムから出力したエラーの内容を確認・押印していることを確認する。
②システムに組み込まれた自動化された機能
1. エディットバリデーションチェック
~入力フォーマットをチェックする機能~
(テスト方法)
システムの受注登録画面の入力項目欄をブランクにし、次のページへ進むと、未入力項目のエラーが表示される仕組みとなっていることを確認する。
2. マッチング
~入力内容とマスタとの一致を確認する機能~
(テスト方法)
システムの受注登録画面にて、商品マスタにない商品コードを入力すると、商品名が表示されない仕組みとなっていることを確認する。
3. トータルチェック
~システムへの入力前後の合計値を照合する機能~
(テスト方法)
会計システムへ取り込む前の支払データを準備し、会計システムへ取り込んだ後、仕訳の件数や金額が一致することを確認する。
4. アクセスコントロール
~権限者を認証・識別する機能~
(テスト方法)
システムに登録されているIDおよびその権限を出力し、アクセス制限がかけられていることを確認する。伝票承認権限のある人とない人のシステムメニュー画面を比較し、権限のない人は承認メニューが表示されないことを確認する。
システム内で自動化された機能を評価する場合、テスト実施者は、統制者が統制を実施した証憑を確認するのではなく、テスト実施者自らがデータを入れて機能を再現し、確認するのが特徴です。
ITに係る業務処理統制の評価ポイント
最後にITに係る業務処理統制の評価を行う上でのポイントを2つ説明します。
1. ITに係る業務処理統制の評価サンプル数は1件
ITに係る業務処理統制の評価サンプル数は、業務プロセス統制の手作業による評価で25件といったサンプルは不要で、基本は年間で1件です。
但しこのサンプル数は「IT全般統制評価が有効」という大前提のもと成り立つ話です。
IT全般統制とは、システム利用全体に係る統制となりますが、そのITの土台が非有効であると、ITに係る業務処理統制は単なる手作業の業務プロセス統制となり、統制頻度によって複数のサンプルを取ることになるのが注意すべき点です。
2. テストはテスト環境または本番環境で実施
テスト実施者がシステムへ直接データを入力するので、テスト方法によっては、テスト環境を準備してもらい、テストを行います。
本番環境に影響がないテストは、本番環境で実施した方が効率的ですので、テスト実施前に事前に情報システム部、ユーザ部門等への確認・相談が必要です。
また前述の会計システムへの取込み前後のデータの件数、金額一致を確認するテストはテスト実施者が自ら実施しなくても、この統制を統制実施者自らが日常行っているのであれば、現場に立ち会い、件数、金額を確認するやり方もあります。
システムに変更がなければ結果は変わらないのだから、新たにITの機能を評価しなくて
良いのでは?と思いがちですが、ITに係る業務処理統制が変わっていない、同じ動きを
確認するのが内部統制評価です。
ITに係る業務処理統制の評価においては、IT全般統制が有効かつシステムに変更がない
限り、サンプルは1件で毎年同じ結果を評価します。
ITに係る業務処理統制が1件のサンプルで済むのは、IT全般統制が有効であることが前提になります。ぜひこの点を認識して、評価を行っていただきたいです。
まとめ
ITに係る業務処理統制とは、業務プロセスの中に組み込まれたシステムに関係する統制
ITに係る業務処理統制は、以下の通り大きく2種類ある。
①人手とシステムの処理が一体となった統制
②システムに組み込まれた自動化された機能
①の統制例:システムがエラーリストを作成・出力し、人がエラーの内容を確認。
②の統制例は、以下の通り。
1. エディットバリデーションチェック
~入力フォーマットをチェックする機能~
2. マッチング
~入力内容とマスタとの一致を確認する機能~
3. トータルチェック
~システムへの入力前後の合計値を照合する機能~
4. アクセスコントロール
~権限者を認証・識別する機能~
ITに係る業務処理統制の構築ポイント
・人手とシステムの処理が一体となった統制は、手作業もしくはシステムどちらか一方のチェックだけでは、リスクをカバーできない場合に構築。
・システムに組み込まれた自動化された機能は、実務上内部統制のために構築するといったことは、自社でシステムを開発しない限りほとんどない。
⇒ITに係る業務処理統制は、あくまで業務プロセス統制の範疇なので、業務プロセスの中でどのような財務リスクがあるかを洗い出し、そのリスクが手作業、ITどちらの統制でカバーするかを考え、構築するのが重要なポイント。
ITに係る業務処理統制の評価とそのテスト方法
ITに係る業務処理統制の評価では、統制内容が実際に機能しているか証憑(証拠)を収集し確認。テスト方法例は以下の通り。
①人手とシステムの処理が一体となった統制
(テスト方法)
担当者がシステムから出力したエラーリストのエラー内容を確認・押印。
②システムに組み込まれた自動化された機能
1. エディットバリデーションチェック
(テスト方法)
システムの登録画面にて未入力の項目があるとエラーが表示されることを確認。
2. マッチング
(テスト方法)
商品マスタにない商品コードを入力すると、登録画面に商品名が表示されないことを確認。
3. トータルチェック
(テスト方法)
会計システムへの取込み前後のデータを確認し、仕訳の件数・金額が一致することを確認。
4. アクセスコントロール
(テスト方法)
システムに登録されているID・権限を出力し、アクセス制限がかけられていることを確認。
システムに組み込まれた自動化された機能を評価する場合、統制内容が実際にあるかテスト実施者自らがデータを入れて機能を確認するのが特徴。
ITに係る業務処理統制の評価を行う上でのポイント
1. ITに係る業務処理統制の評価サンプル数は1件
ITに係る業務処理統制の評価サンプル数は、「IT全般統制評価が有効」という大前提のもと1件。
2. テストはテスト環境または本番環境で実施
直接データを入力するテストなので、テスト方法によっては、テスト環境で実施。
本番環境に影響がないテストは、本番環境にて情報システム部等への相談の上実施。
