IT全般統制に関係する指針の改正

日本公認会計士協会は、2021年6月8日付で、監査基準委員会報告書315を改正し、「重要な虚偽表示リスクの識別と評価」として公表しました。監査人の指針の位置付けにはなりますが、監査を受ける企業側も監査人から対応を求められるため、理解をしておく必要があると考えます。IT全般統制には、これまで指針として明確なものはありませんでしたが、当該報告書の改正により、統制活動の理解の一環として、ITの利用で生じるリスクに対応するIT全般統制を識別し、デザインと業務への適用を評価しなければならない、と明確化されました。

本コラムでは、これまで実務的にバラつきが多かったIT全般統制の識別と、IT全般統制でとくに改善が必要になる評価項目の2点について、解説します。

(1)IT全般統制の識別

IT全般統制の識別にあたっては、財務報告に係る内部統制の識別に基づきITアプリケーションを識別し、ITの利用から生じるリスクを識別することが必要です。
筆者のシステム監査経験では、例えば、売上プロセスの業務フローやRCM(リスクコントロールマトリクス)で識別されたリスクと統制に対して、ITアプリケーションのどの自動化された内部統制が識別されているのか、十分に検討されていないことがあります。「売上計上の承認」や「売上データの更新制限のシステム的な担保なのか」、「製品マスターなどの適切な維持・管理による正確性なのか」などにより、対象となるITアプリケーションやその利用から生じるリスクも異なります。ITアプリケーションにより自動化された内部統制が、IT全般統制のどのITプロセス(アクセス管理、変更管理など)の有効性を前提にしているのかを確認しておくことが必要です。

(2)IT全般統制でとくに改善が必要になる評価項目

IT全般統制で、とくに下記の3点は改善が必要になります。

  • 体制・承認
  • アクセス管理
  • 変更管理

「体制」については、開発と運用の職務分離が十分でないケース、「承認」については、申請と承認が同一者(自己承認)であるケースや、事後の形式的な承認が行われているケースが見受けられます。また、「アクセス管理」については、ユーザーと権限の管理、とくに、特権IDの使用状況のモニタリングが十分でないケース、「変更管理」については、データの直接変更に対する事前・事後の統制が十分でないケースが見受けられます。
上記は、データの信頼性に直接影響することが多く、データの変更をトレースできない場合もあることから、監査人からの指摘もとくに多いと感じられます。

監査基準委員会報告書315には、「付録5 ITを理解するための考慮事項」「付録6 IT全般統制を理解するための考慮事項」として詳細に示されているため、貴社でも指針を参考に、あらかじめ確認・点検しておくことは有用と思われます。