目次

目次

ITコントロールの分類と評価アプローチ

ISAE 3402.A73は、ITコントロールを2つの層に分けて評価するよう求めている。第一層は一般ITコントロール(GITC)、第二層は業務処理レベルのアプリケーションコントロール。この分層アプローチは単なる整理手法ではない。一般ITコントロールの不備は、その上に構築される全ての業務処理コントロールの信頼性を損なう。
監査基準委員会報告書315.21は、ITの利用が広範囲にわたる場合、IT環境の統制を理解することは、内部統制全体の評価にとって不可欠であると述べている。サービス組織において、ITは単なるツールではなく、コントロール環境そのもの。
一般ITコントロールの評価は、業務処理コントロールの評価に先行しなければならない。GITCに重要な不備があれば、アプリケーションレベルのコントロールが設計通りに機能していても、その有効性は著しく制限される。例えば、アクセス管理が不適切であれば、承認プロセスのコントロールが機能しない可能性がある。

設計有効性と運用有効性の区別


ISAE 3402.57では、各コントロールについて設計有効性と運用有効性を別々に評価することを求めている。設計有効性は「コントロール目標の達成に対して適切に設計されているか」、運用有効性は「期間を通じて効果的に運用されたか」を問う。
設計有効性の評価は、コントロールの手順書、システム設定、承認フローの確認を通じて行う。運用有効性の評価には、実際の取引サンプルを使った詳細テスト、例外事項の分析、自動コントロールの継続的運用の証拠が必要。

一般ITコントロール(GITC)のテスト手続

アクセス管理のテスト


アクセス管理は全てのITコントロールの基盤となる。ISAE 3402.A74は、論理アクセス制御について以下の要素の評価を求めている:新規アクセス許可の承認プロセス、定期的なアクセス権の見直し、異動・退職時のアクセス削除、特権アクセスの管理。
新規アクセス許可のテスト:
テスト対象期間中に付与された全アクセス権から、リスクベースでサンプルを選定する。各サンプルについて、申請書、承認者の署名、システム管理者による実行記録を確認。承認者が申請者の職務内容を理解し、必要最小限のアクセス権のみを承認しているかを検証する。
定期的レビューのテスト:
四半期または半年ごとのアクセス権棚卸しプロセスを確認する。部門管理者による承認記録、アクセス権の削除実績、レビュー対象から漏れたアカウントの有無を検証。特に、長期間使用されていないアカウント(通常90日以上非アクティブ)の処理状況を重点的に確認する。

変更管理のテスト


変更管理は、システムの整合性とコントロールの継続性を確保する重要な統制。ISAE 3402.A75は、システム変更について適切な承認、テスト、実装の手続が整備されていることを求めている。
テスト対象期間中の主要なシステム変更を特定し、各変更について以下を確認する:変更要求の記録と承認、開発環境でのテスト実施記録、本番環境への移行前レビュー、移行後の検証結果。緊急変更については、事後承認と追加レビューのプロセスを確認する。

バックアップ・災害復旧のテスト


データの完全性と可用性を確保するコントロール。バックアップの定期実行記録、復旧テストの実施状況、オフサイト保管の証跡を確認する。監査基準委員会報告書315.A126は、IT環境における業務継続性の重要性を指摘している。
年次の災害復旧テストについては、テスト計画書、実施記録、発見された課題と改善措置を詳細に確認する。テストが形式的なものではなく、実際の業務継続に必要な機能を検証しているかを評価する。

業務処理コントロールのテスト

自動コントロールのテスト


自動コントロールは、一度設定されれば継続的に機能するが、その設定の正確性と継続的運用の証拠が必要。ISAE 3402.68は、自動コントロールについて、設定の正確性、変更に対する統制、例外処理の適切性を確認することを求めている。
計算ロジックの検証:
重要な自動計算(利息計算、手数料計算、税額計算等)について、システムに組み込まれた計算式と業務要件の一致を確認する。テストデータを使って独立再計算を行い、システム出力との一致を確認する。
例外処理の確認:
システムが検知したエラーや例外事項について、適切な担当者への通知、調査・修正プロセス、承認者によるレビューが機能しているかを確認する。例外レポートの完全性(全ての例外が含まれているか)も重要な検証ポイント。

手作業コントロールのテスト


手作業コントロールは人的要素が関与するため、より多くのサンプルテストが必要。ISAE 3402.A86では、手作業コントロールの性質と頻度に応じて、適切なサンプル数を決定することを求めている。
日次コントロールは年間を通じて20〜25サンプル、週次コントロールは年間15〜20サンプル、月次コントロールは年間8〜12サンプルが一般的。各サンプルについて、実行者の署名、実施日時、発見された例外事項とその処理状況を確認する。

データ完全性のテスト


データの完全性と正確性を確保するコントロール。インターフェイス処理における件数チェック、金額合計の照合、重複データの検知・除去プロセスを確認する。
月次の残高照合プロセスについては、照合の実施記録、差異の調査・修正プロセス、承認者によるレビューを詳細に確認する。未解決の差異がある場合は、その内容と管理状況を評価する。

実例による検証手続

クライアント名: 田中ロジスティクス株式会社
事業内容: 物流サービスの提供
売上高: 約128億円
従業員数: 約850名
田中ロジスティクス社は、全国15箇所の物流センターを統合する基幹システム「LogiNet」を運用している。各センターからの出荷・入荷データをリアルタイムで本社システムに集約し、顧客企業への請求処理を自動化している。

ステップ1: ITコントロールの識別と重要度評価


LogiNetシステムの分析により、以下の重要コントロールを識別した:
文書化ノート:コントロール設計書にアクセス管理フローとサンプル帳票を添付。承認権限マトリックスと実際の運用状況の整合性を確認済み。
文書化ノート:例外レポートのサンプルを調書に保管。年間を通じて例外発生率は0.03%で安定推移。

ステップ2: サンプル選定とテスト実施


アクセス管理のテスト:
文書化ノート:アクセス管理テストのワークペーパーを別シートに整理。各テスト項目の合格/不合格理由を明記。
データ統合コントロールのテスト:
文書化ノート:データ照合の自動処理ログとエラーレポートをPDFで保管。例外処理の調査記録と承認者サインを確認済み。

ステップ3: 不備の評価と結論


テスト結果として、2件の軽微な不備を識別:
文書化ノート:識別された不備について、根本原因分析と管理者の改善措置を文書化。軽微な不備と判定した理由を明記。
結論: 田中ロジスティクス社のITコントロールは、軽微な不備はあるものの、全体として有効に機能している。識別された不備は管理者により速やかに改善措置が講じられ、システム全体のコントロール目標の達成に重大な影響を与えるものではない。

  • アクセス管理(重要度:高)
  • 新規アクセス申請の3段階承認(申請者上司→IT管理者→システム管理者)
  • 月次のアクセス権棚卸し(各部門長による確認)
  • 退職者アクセス削除の即日実行
  • データ統合コントロール(重要度:高)
  • 15拠点からのデータ送信完了チェック
  • 件数・金額の自動照合
  • 例外データの手作業レビュー
  • 新規アクセス付与:年間87件から20件を統計的サンプリングで選定
  • アクセス権棚卸し:12回の月次レビューを全件確認
  • 退職者アクセス削除:年間23名の退職者を全件確認
  • 日次データ照合:営業日数247日から25日をランダムサンプリング
  • 例外処理:発生した例外74件から15件を選定してフォローアップ確認
  • 1名の退職者アクセス削除が退職日から3日遅れ(人事からIT部門への通知遅延)
  • 月次アクセス権棚卸しにおいて、1部門で承認日が期限を1日超過

監査人が確認する重要なドキュメント

システムドキュメント類


システム構成図と データフロー図:
システム全体のアーキテクチャと主要なデータの流れを理解するための基礎資料。特に、外部システムとのインターフェイス、データ変換処理、例外処理の流れを詳細に確認する。
コントロール設計書:
各コントロールの目的、実施者、実施頻度、証跡の保管方法を記載した文書。ISAE 3402.64では、コントロールの設計を理解し評価するために必要な文書と定められている。設計書が実際の運用と一致しているかを確認することが重要。

運用記録とログ


システムアクセスログ:
特権アクセス、システム管理者アクセス、夜間・休日アクセスを重点的に確認する。異常なアクセスパターンがないか、承認されていないアクセスがないかを分析する。
変更管理記録:
システム変更の申請書、承認記録、テスト結果、本番適用記録を一連の流れとして確認する。緊急変更については、事前承認の省略理由と事後承認の実施状況を確認する。
例外・エラーレポート:
システムが自動生成する例外レポートの完全性と正確性を確認する。重要な例外については、調査結果と対応措置の記録を詳細に確認する。未解決の例外がある場合は、その影響度と管理状況を評価する。

コンプライアンス関連文書


セキュリティポリシー:
情報セキュリティに関する基本方針と具体的な実施基準。ポリシーの内容が実際のコントロールに反映されているか、従業員への周知・教育が適切に行われているかを確認する。
業務継続計画(BCP):
災害や障害時の業務継続に関する計画書。計画の実行可能性、定期的な見直し、訓練の実施状況を確認する。監査基準委員会報告書315.A128は、IT環境における業務継続性の評価の重要性を指摘している。

よくある不備と対処法

アクセス管理の不備


職務分離の不徹底:
同一人物が申請から承認、実行まで複数の役割を担っている場合がある。小規模組織では完全な職務分離が困難な場合も多い。このような場合は、代替統制(上位承認者による事後レビュー、定期的なモニタリング等)の整備を確認する。
特権アクセスの管理不備:
システム管理者アカウントの共有使用、パスワードの定期変更未実施、作業内容の記録不備等。国際的な監査調査では、これらの不備が監査品質に直結する重大な問題として指摘されることが多い。

変更管理の不備


テスト不十分による本番障害:
開発環境でのテストが不十分で、本番環境でエラーが発生する事例。テスト計画の妥当性、テストケースの網羅性、テスト結果の適切な評価を確認する必要がある。
緊急変更の事後承認漏れ:
システム障害等の緊急時に実施した変更について、事後の承認手続が漏れている場合がある。緊急変更については、実施理由の妥当性、変更内容の適切性、事後承認の確実な実施を確認する。

データ完全性の不備


インターフェイス処理エラーの見落とし:
システム間のデータ連携において、エラーが発生しているにも関わらず、適切な調査・修正が行われていない場合がある。エラーレポートの確認体制、調査プロセス、修正措置の実効性を評価する。
残高照合の差異放置:
月次の残高照合で差異が発生しているにも関わらず、原因調査や修正措置が講じられていない場合がある。差異の金額的重要性、発生頻度、累積影響を考慮して評価する。

実務チェックリスト

この チェックリストは明日の業務で即座に使用できるよう設計されている:

  • ITコントロール識別の完全性確認
  • 一般ITコントロール(アクセス管理、変更管理、バックアップ等)の漏れはないか
  • 業務処理コントロール(自動コントロール、手作業コントロール)の識別は適切か
  • 各コントロールの重要度評価はリスクベースで実施されているか
  • ISAE 3402.A73の分層アプローチに従っているか
  • テスト計画の妥当性確認
  • サンプル数は統計的妥当性を確保しているか(日次20-25、週次15-20、月次8-12)
  • サンプル選定方法は偏りを排除できているか
  • テスト対象期間は報告対象期間を適切にカバーしているか
  • 自動コントロールと手作業コントロールでテスト手法を使い分けているか
  • 証拠収集の十分性確認
  • 各コントロールについて設計有効性と運用有効性の両方を確認したか
  • システム設定、承認記録、実施記録等の証跡を適切に入手したか
  • 例外事項について根本原因分析と対応措置を確認したか
  • 第三者による独立検証(ITスペシャリストのレビュー等)を受けたか
  • 不備評価の適切性確認
  • 識別された不備の影響度評価は適切か
  • 軽微な不備と重大な不備の区分は明確か
  • 管理者の改善措置は実効性があるか
  • 不備が他のコントロールに与える影響を評価したか
  • 文書化の完全性確認
  • テスト手続、サンプル選定理由、実施結果を詳細に記録したか
  • 結論に至った判断根拠を明確に記載したか
  • 必要な証拠書類を調書に添付・保管したか
  • 最重要: ISAE 3402.68が要求する「十分かつ適切な証拠」の基準を満たしているか

実務に役立つ監査の知見を毎週お届けします。

試験対策ではありません。監査を効率化する実践的な内容です。

290以上のガイドを公開20の無料ツール現役の監査人が構築

スパムはありません。私たちは監査人であり、マーケターではありません。