IT全般統制不備評価

 GAITのITGC不備に関する評価ガイダンス

IT全般統制の不備については、GAITの「IT全般統制不備評価」のガイド^[1]が参考になろう。

評価原則

1. ITGCの不備を評価するには、瑕疵のあったITGCのキーコントロールと財務報告との間における依存関係をきちんと理解する必要がある。
2. 「重大な欠陥」に相当するには、以下の二つのテストを満たさねばならない：（ａ）可能性（ｂ）影響（※すなわち、財務報告における虚偽記載の潜在的な可能性である）。
3. ITGCの不備は財務報告に直接影響を及ぼすものではないため、評価も一直線にできるものではない。評価は、段階的に手順を踏んで、可能性と影響度とをテストしながら、いくつからの手順を組み合わせて行なわれる。
4. 同一のITGCの統制目的に係る全てのITGCの不備は、一つのグループとして評価されるべきである。
5. 全ての遂行されていないITGCの統制目的で、同一の要（キー）となる自動化された統制、キーレポート、その他重要な機能に係るものは、一つのグループとして評価すべきである。
6. 「総括原則」(the principles of aggregation)は、全ての種類のコントロール（手作業、自動化を問わず、同一の重要な科目や開示項目に係るコントロールが含まれる）の不備は、一グループとして捉えるべきであるとしている。

評価プロセスにおける１０のステップ

1. テストで検出された除外事項がコントロールの瑕疵によるものであって、単なる例外でないことを確認する。
2. テストされたコントロールが意図するITGCのコントロール目的を識別する。
3. ITGCのコントロール目的が遂行されたかどうかを決定する。
4. このコントロール目的の遂行に依拠している財務報告上重要なアプリケーションがいずれかを識別する。
5. 通常のオペレーション（活動）により、ITGCのコントロール目的の瑕疵が発見される合理的な可能性が最低限あるかどうか。
6. ITGCコントロール目的の瑕疵により、どの重要なIT機能がリスクに晒されているかを識別する。
7. リスクに晒されている重要なIT機能それぞれについて、ITGCコントロール目的の瑕疵により、IT機能の瑕疵が発見されない原因となる可能性があるかどうか。
8. 重要なIT機能と他の業務上のコントロールとを考慮すると、その瑕疵が重大な虚偽表示をもたらす合理的な可能性があるか。
9. 「重大な脆弱性」に満たないリスクが「重大な不備」として、Audit Committeeに対し依然として開示の妥当性を保証するに足るものか。
10. 財務報告に対する全てのコントロールリスクが集約考慮されているかどうかを含め、適切な人のレヴュを受ける。

※ちょっと一言