日本公認会計士協会(JICPA)は2010年6月11日、財務諸表監査時に実施するIT監査の留意事項をQ&A形式でまとめた「IT委員会研究報告第31号(以下、第31号)」の改訂版を公開、新たに七つのQ&Aを追加した。第31号は監査人向けの文書だが、J-SOX(日本版SOX法)に対応する企業の参考資料として活用されている。第31号のQ&Aは今回の追加により38項目となった。
「業務処理統制の整備状況が仕様書などにより評価できない場合」や「開発や保守、運用の担当者の職務分掌ができていない場合」、「特権IDの管理が不十分で、最小限のユーザー以外にも権限が付与されている場合」などのリスク評価の方法が新規に追加された項目となる。
「Q33:システムに組み込まれた業務処理統制の整備状況が、仕様書などにより評価できない場合に想定されるリスクの評価および対応例について教えてください」では、仕様書そのものを作成していなかったり、仕様書はあるものの変更が反映されていない場合を想定している。
仕様書がない場合の対応方法として、ユーザーマニュアルといった仕様書以外の文書で業務処理統制の整備状況を確認したり、プログラムのソースコードを利用して内容を確かめる方法を例示。こうした方法が採れない場合は、実際の操作や画面を観察したり、実際のシステム設定情報を確かめるといった方法を提案する。
開発と運用の職務分掌が難しい場合は、記録を残す
「Q35:システム部門が存在せず、担当者1人のみでシステムの管理を行っている場合に、プログラム開発担当者や変更担当者の職務が分離されていないときに想定されるリスクの評価および対応例について教えてください」「Q36:システム部門において、プログラムの開発担当者や保守担当者と運用担当者の職務の分離がされず、業務が運用されている場合に想定されるリスクの評価および対応例について教えてください」の2問は、IT統制の整備・運用に欠かせない職務分掌にかかわる項目だ。
Q35でシステムの担当者が一人の場合は「上位の権限者の事前承認や利用部門の動作確認を得ることによって一定のけん制機能が期待できる場合があり、定められた手順に従って業務を実施したことについて作業記録を残す方法が考えられる」としている。
Q36のシステムの開発や保守、運用の担当者が同じ場合は「故意による不適切な変更を避けるために、書面による承認プロセスの確立や、ワークフロー・システムやプログラムを管理するライブラリ管理システムが導入される場合がある」との主旨を説明している。
職務分掌と同様に権限が明確になっていないケースを提示したのが「Q38:会計システムの特権IDの管理が不十分で、必要最低限のユーザー以外にも権限が付与されている場合に想定されるリスクの評価および対応例について教えてください」である。
マスターやパラメータの変更が可能な特権IDについて、第31号では「強力な権限を有しているため、必要最小限の者のみに付与されるべきである」としたうえで、「特権IDと通常の操作に使用するIDを区別し、特権IDを使用する者でも会計システムの通常利用時は、通常の操作向けのIDを使用する」「特権IDの管理をシステム部門に移管し、ユーザー部門で特権IDの使用を必要とする場合には、そのつど使用できる特権IDの貸し出しおよび返却を管理する」といったコントロール(統制)の例を挙げている。
このほか今回の改訂では「Q32:全般統制に不備が存在した場合に想定されるリスクの評価および対応はどのようなものですか」「Q34:データベースの会計データを直接修正する手続きに不備が存在した場合に想定されるリスクの評価および対応例について教えてください」「Q37:システムの開発過程においてユーザー受け入れテストが実施されていない場合に想定されるリスクの評価および対応例について教えてください」の三つのQ&Aが追加されている。
JICPAが第31号を改定するのは10年2月に続き4回目となる(関連記事)。第31号はJICPAのWebページから無償で入手できる。
