IT全般統制 | KPMG | JP

IT全般統制

IT全般統制

IT全般統制は、多くのアプリケーションに関係する方針及び手続であり、IT業務処理統制が有効に機能することを支えるものです。IT全般統制が各アプリケーションシステムに適用され、継続的かつ適切に機能することで、IT業務処理統制が効果的に機能することを間接的に保証することになります。

関連するコンテンツ

IT全般統制には、IT固有の技術を利用した自動の統制だけでなく人間による作業、さらにはITに係る方針・ルールの整備とその遵守、牽制・監視に関する統制活動なども含まれます。
またIT全般統制は、メインフレーム、サーバ、及びエンドユーザ・コンピューティング等どのような環境に対しても適用されます。
日本公認会計士協会のIT委員会実務指針第6号では、情報の正確性、網羅性及び適時性並びに情報のセキュリティを保持するための全般統制として次の5つの事項に関する内部統制を挙げています。

1. データ・センターとネットワークの運用

情報システムの稼動確認、臨時処理、障害が発生した場合の復旧、プログラムやデータの保全等に係る内部統制が識別・評価されます。

2. アプリケーションの取得、開発及び保守

新規の情報システムの取得・導入には、外部からの購入や自社又は外部業者における開発、あるいはその中間の形態が存在します。例えば、導入手続に基づく開発の各段階での承認、適切な立場にあるユーザによるテスト等が内部統制として識別・評価されます。アプリケーションの導入においては、既存のアプリケーションのデータを新規のアプリケーションで利用するために変換することが必要となります。この場合、データの変換が正確で網羅的であることを確かめるための内部統制に留意します。

3. システム・ソフトウェアの取得、変更及び保守

アプリケーションが稼動する基盤であるシステム・ソフトウェアについても、プロセスの各段階での承認やテストといったアプリケーションと同様の内部統制を識別・評価します。システム・ソフトウェアの取得、変更及び保守がソフトウェア開発の一環として実施され、内部統制の実施者や手続が同じ場合には一括して評価することができる場合があります。なお、外部のベンダーにより変更及び保守が行われている場合には、その部分は別の内部統制として識別・評価する場合があります。

4. プログラム変更

プログラムの変更では、例えば、システム変更担当部署とシステム運用部署の分離、変更対象プログラムの十分なテストの実施及び機能確認、プログラム導入前後の承認等が、内部統制として識別・評価されます。

5. アクセス・セキュリティ

アクセス・セキュリティでは、例えば、ユーザID管理やログ管理といった、プログラム及びデータ等の情報資源へのアクセスを制限するための論理的セキュリティのツールの導入・運用、入退出管理や情報機器への物理的なアクセス制限等に係る内部統制が識別・評価されます。

お問合せ

 

RFP(提案書依頼)

 

送信