システム変更に係る内部統制の評価方法

システム変更に関する内部統制の評価において、変更依頼どおりにシステムが変更されたかを検証することは可能であるが、監査人から、逆に変更されたプログラムを任意抽出し、それがどのような手続で依頼・承認されたものであるか確認することが必要であると言われた。こうした逆方向の確認は、多大な労力がかかる場合がある。こうした確認は、必ず実施する必要があるのか。


(答)
1.システム変更に関するITに係る全般統制の評価については、システム変更が行われた当該システムの重要性や内容等により、評価や監査の手法は異なるものと考えられるが、基本的には、変更依頼どおりにシステムが変更されたかについて承認及び導入前の試験が適切に行われているかどうかを確認することになると考えられる(実施基準Ⅲ4 ②ロa)。この場合に、変更依頼又は変更されたプログラム等からサンプリングし、それがどのような手続で依頼・承認されたものであるかを確認する方法が考えられるが、必ず双方が求められるのではなく、状況に応じて適切な手続を実施する必要がある。

2.実施基準においては、システム変更等があった場合、ITに係る業務処理統制の整備状況については、システム設計書等を閲覧することにより、企業の意図した会計処理が行われるシステムが作成されていることを確認することとされている。また、運用状況については、例えば、評価対象となった統制上の要点ごとに、サンプリングを行い、当該取引に係るシステムへの入力情報とシステムからの出力情報を比較し、予想していた出力情報が得られているかを、例えば、入力データに基づいて、検算を行うこと等により確認するとされている(実施基準Ⅲ4 ②ハ)。