1. 情報セキュリティブログ ホーム
  2. セキュリティニュース
  3. 日本公認会計士協会が「ITに係る内部統制の枠組み」の草案を公表

日本公認会計士協会が「ITに係る内部統制の枠組み」の草案を公表

日本公認会計士協会(JICPA)は、11/8(木)、「ITにかかる内部統制の枠組み―自動化された業務処理統制等と全般統制」の草案を公表し、パブリックコメントを募集すると発表しました。

これは、IT委員会での研究報告で、内部統制の基本的な要素である「ITへの対応」についての枠組みを発表したものです。

日本公認会計士協会、J-SOX対応で「IT統制の枠組み」の草案を公表(IT Pro)

この草案は、公認会計士の監査実務における、IT統制の評価範囲と評価方法について解説しています。

 内容は、IT業務処理統制とIT全般統制のそれぞれの具体例、両統制の関係、EUC(エンドユーザー・コンピューティング)、外部委託先の統制の評価、など。全10ページで解説している。

記事よると、まず、IT業務処理統制については、次の3点のポイントに分けて解説しているようです。

 IT業務処理統制については、(1)自動化された業務処理統制、(2)自動化された会計処理手続き、(3)手作業の統制に利用されるシステムから自動生成される情報、の3つの場合を取り上げている。具体的な例示とともに、IT全般統制との関係を示している。

次に、IT全般統制については、以下の3種類のシステムについて注意すべき事項を挙げています。

(1)メインフレーム
(2)クライアント・サーバー型
(3)Web系

特に、(3)Web系については、Webアプリケーションなどネットワーク上でプログラムやデータが流れている場合には、個々のアプリケーションに対する全般統制だけではなく、ネットワーク全体の運用・管理までが全般統制の適用範囲の対象となると言及しています。

一方、公認会計士が監査を行う企業が、業務処理を外部企業に委託している場合については、次の通り、当該外部委託先の内部統制をも同様に行う責任が(公認会計士には)あるとしています。

 外部委託先の内部統制の監査も同様だ。草案では、委託者は「委託先のIT業務処理統制とIT全般統制について管理責任を有する」という趣旨を明言している。だが一方で、「委託者の社内で有効な内部統制が機能していれば、委託先の監査は不要」とするなど、緩和の条件も併記している。

内部統制を実現する上でITの対応、特に情報セキュリティを確保することは密接不可分な要素です。日本版SOX法の実施基準と併せて、参考にしましょう。

なお、パブリックコメントは、12/14(金)まで電子メール又はFAXにて受け付けています。

<参考>
IT委員会研究報告「ITに係る内部統制の枠組み?自動化された業務処理統制等と全般統制?」(公開草案)の公表について(日本公認会計士協会)

関連キーワード:

IT統制

内部統制

  • DMZとは
  • カテゴリートップへ
  • ブラウザFirefoxに脆弱性発見、Google経由で悪用の可能性も