Guide to the Assessment of IT General Controls Scope Based on Risk , The Institute of Internal Auditors, Jan 2007, Mar 2008
http://www.theiia.org/guidance/technology/gait/
文字通り、IT全般統制の評価についての範囲を決めるための概念であり、手続について具体的に記載されたものではありませんが、内部統制評価において最も重要なのは、How to assess/auditではなく、What to assess/auditです。つまり、必要最小限のコストで最大限の成果を上げるためには、リスクのあるところではなく、よりリスクの高いところに焦点を絞ることが必要なわけです。
IT全般統制の影響は業務広範に亘る(pervasive)ため、一旦不備が検出されてしまうと、その影響評価や対応に結構なリソースを要してしまいますが、「財務報告」という観点からきちんと絞り込んだ作業をしないと、最後に財務報告には影響がないという結論を導いても、結局リソースを浪費しただけで終わってしまう可能性があります。
IT全般統制に関して、それをどうやって絞り込んでいくかという議論をしたものがGAITのアイデアです。
- IT全般統制に関するキーコントロールの識別方法についてかなり具体的に記載されている。四つの原則を記載したPrinciplesと実務的な方法を記載したMethodologyの二部構成。 - なわ (2008年03月16日 13時06分38秒)
- 2008年3月17日にGAIT2が出ています。同じURLでアクセスできますが、なぜかPrinciplesがどこかに消えてしまいました。もちろんMethodologyの中には入っていますが。 - なわ (2008年03月19日 18時33分20秒)
- 勉強になります。ところでこの使われ方は、ICOFRに限定したものではない一般的なものと理解した方がいいのでしょうか。それとも、それ以外の目的も想定されているのでしょうか。例えば、ISOとか。 - shibayan (2008年03月20日 13時25分29秒)
- GAITはモロにSOX404のAS5を意識して作成されていると冒頭に書いてあります。ゆえに、かなり参考になりますよ。 - なわ (2008年03月20日 15時55分38秒)
【本文脚注】