IT3号

IT専門家

利用

要否判断

検討の余地

対応困難

不足

知識

技術

効率化可能

基準

影響度

複雑度

安定度

変更の程度

適性判断

能力＋客観性

ITの知識

RMMの評価

利用時

依頼時

コミュニケーション

計画段階~

作業目的

定型書式

実施期間

モニタリング

定期報告

アウトソーシング

監査手続

実施可能性

契約上の取決め

CAAT

要確認

データ

正確性

網羅性

保管責任

EUC

IT特有のリスク

ITGC

要検討

場合

高度利用

自動化された業プロ

検討例

検証

マクロ・計算式

代替的検証

手作業

対応検証

アクセス制御

不要

管理下外

IT部門

ITGC整備不可

ITGC

①企画・開発・調達

②運用・管理

閲覧

ドキュメント

視察・質問

③セキュリティ

対策

物理的

入室制限

技術的

パスワード

アクセスログ

管理的

ユーザID

④アウトソーシング

自社同様

ITBC

作業量

当期実施

サンプルチェック

ITGC次第

有効

件数↓

例：1件

対象期間短く

ロールフォワード

判断基準

プログラム変更

障害の発生

ITGC有効性

過年度利用

条件

過年度

不備なし

以降

変更なし

不具合なし

当期

ITGC有効

手続

システム

変更なし

市販

把握

バージョン情報

確認

更新

自社開発・ERP

確認

バージョン管理台帳

変更管理台帳

変更あり

市販

確認

リリースノート

把握

機能改善

変更箇所

自社開発・ERP

確認

仕様書

プログラム管理台帳

変更管理台帳

目的

まず

理解

IT利用状況

基礎情報

追加的情報

そして

把握

RMM評価対象

省略判定

リスク評価手続

一部

理解

重要

①ITインフラ

概要

②アプリケーション・システム

構成

⑤・⑥情報システム

変更

安定度

サブ

③電子商取引

利用

④情報システム

投資

⑦アウトソーシング

利用状況

⑧アライアンス

状況

判定

一部省略

要件

①限定的利用

②高安定度

③重要な変更なし

外部要因

産業・規制

企業目的・戦略

ビジネスリスク

業績測定・検討

会計方針選択・適用

内部統制

統制環境

①

リスク評価・対応

④関係

紐付け

アサーション

ITコントロール目標

具体化

不正を考慮

改ざん

プログラム

データ

コントロール

防止的

発見的

統制活動

⑤概要

⑥ITGC

評価

項目

自社

①企画・開発・調達

②運用・管理

③セキュリティ

④アウトソーシング

同上

⑦ITAC(ITBC)

整備状況

対象

自動化業務処理統制「等」

業務処理統制

会計処理手続

IT利用コントロール

理解手法

デザイン

業務への適用

情報と伝達

②関係

理解対象

F/S

業プロ

アプリケーションシステム(AC)

順序

No.1

理解

主要な取引

関係

主要な取引

F/S

業プロ

IT

No.2

理解

関係

MCoA

業プロ

AC

③F/S目的の

設定

ITコントロール目標

重要

②網羅性

⑤正確性

⑥維持継続性

⑦正当性

サブ

①準拠性

③可用性

④機密性

モニタリング

⑧

種類

日常的

対例外的事項

予め定義

独立的

内部監査

留意

デザイン

入手可能

必要データ

(ITへの対応)

ITGC

影響

有効

心証

有効に機能

無効

継続維持不可

有効な運用

対応

検討

代替・補完的ITGC

理解

運用評価

判断

問題ない

計画変更なし

問題あり

ITBC

評価範囲拡大

他BC

代替・補完的業プロ

実証手続

範囲拡大

件数

期間

ITBC

影響

有効

依拠可能

無効

依拠不可

対応

判断

問題ない

計画変更なし

問題あり

他BC

代替・補完的業プロ

実証手続

範囲拡大

件数

期間

Who

経営者

監査役

What

重大な欠陥

整備

デザイン

業務への適用

運用

How

報告

改善要求