補習所考査対策 【情報処理統制】① 既に207名が購入済み
確度のきわめて高い出題予想箇所と過去問で出題された箇所を太文字で明示。さらに、ただの丸暗記は苦痛なので、<理由>で深堀りして<具体例>でイメージを。これにより、理解しながら暗記することが可能に!!
Ⅰ 情報処理統制に係る監査基準報告書 315 の理解
情報処理統制とは
(1) 情報処理統制
情報処理統制とは、情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制である(監基報315第11項(9))。
また、情報処理統制は、企業の情報に関する方針が有効に適用されるための処理又は手続であり、自動化されている場合(すなわち、ITアプリケーションに組み込まれている。)と手作業の場合(例えば、インプット又はアウトプットに係る内部統制)があり、他の情報処理統制やIT全般統制を含む他の内部統制に依拠することがあるとされる(監基報315 A5 項)。
① 情報のインテグリティのリスクとの関係
上述のとおり、情報処理統制は、情報のインテグリティ(すなわち、取引及びその他の情報(データ)の網羅性、正確性、正当性)のリスクに直接対応する、企業の情報システムにおけるITアプリケーションの情報処理又は手作業による情報処理に関連した内部統制である。
② 情報処理統制の構成
情報処理統制は、ITアプリケーション
上の機能として組み込まれている自動化された情報処理統制と、自動化された情報処理統制と手作業による情報処理統制の組合せにより構成されている。
<ITアプリケーションに組み込まれている自動化された情報処理統制の例>
・ 利息、減価償却、外貨換算等の自動計算
a. インプット・コントロール
入力するデータの正当性、正確性、完全性を確保するための機能(統制)である。
<インプット・コントロールの例>
・ エディットチェック
入力値が受入可能かどうかをチェックする。例えば、得意先マスタにある得意先かどうか、商品コードが登録されている商品かどうかを確かめる。
<具体例>
範囲チェック:
例: 年齢の入力フィールドに対して、0から120の範囲内であることを確認する。
形式チェック:
例: メールアドレスの形式が正しいかどうかを確認する。
存在チェック:
例: データベースに存在するユーザーIDかどうかを確認する。
一貫性チェック:
例: パスワードとパスワード確認フィールドが一致しているかどうかを確認する。
・ バリデーションチェック
データを入力する際に、入力の有無、入力の文字型、入力値の大きさ、条件必須項目のチェックを行う。
<具体例>
必須チェック:
例: フォームの入力フィールドが空でないことを確認する。
形式チェック:
例: メールアドレスの形式が正しいかどうかを確認する。
範囲チェック:
例: 年齢が0から120の範囲内であることを確認する。
一意性チェック:
例: ユーザー名が既に使用されていないかを確認する。
一致チェック:
例: パスワードとパスワード確認フィールドが一致しているかを確認する。
エディットチェック
目的: データ入力時にその場でデータの正確性を確認すること。
適用範囲: 主にユーザーがデータを入力する際にリアルタイムで行われる。
具体例:
数値が指定された範囲内にあるか確認する(例:年齢が0から120の範囲内)。
入力フィールドが空でないか確認する(必須チェック)。
データの形式が正しいか確認する(例:メールアドレスの形式チェック)。
バリデーションチェック
目的: データがシステム全体で一貫性を持ち、正確であることを確認すること。
適用範囲: データベースに保存する前や、システム間でデータをやり取りする際に行われる。
具体例:
データベースに存在するユーザーIDかどうかを確認する(存在チェック)。
ユーザー名が既に使用されていないか確認する(一意性チェック)。
パスワードとパスワード確認フィールドが一致しているか確認する(一致チェック)。
違いのまとめ
タイミング: エディットチェックは主にデータ入力時に行われ、バリデーションチェックはデータ保存やシステム間のやり取り時に行われる。
範囲: エディットチェックは入力フィールドごとに行われることが多く、バリデーションチェックはシステム全体のデータ一貫性を確認するために行われる。
どちらもデータの品質を保つために重要な役割を果たするが、適用されるタイミングや範囲が異なる点がポイントである。
・ アクセス・コントロール
ユーザIDとパスワード等により、権限者とそうでない者を区分・承認する機能である。例えば、操作端末自体に使用できるアプリケーションの権限を与えておき、操作端末にパスワードを設定する、又はアプリケーションレベルでユーザIDごとに使用できる機能の権限を設定しておき、アクセスはユーザごとのパスワードで管理する方法がある。
【職務分掌とアクセス・コントロール】
職務分掌とは、組織においてそれぞれの職務が果たすべき責任(職責)や職責を果たす上で必要な権限(職権)を明確にするために、職務ごとの役割を整理・配分することである。企業では、部門、役職、あるいは個人に対して、業務の内容や権限・責任の範囲を明確にしている。例えば、販売プロセスにおいて、受注を処理する者、出荷業務を行う者、請求書を発行する者、売上伝票を起票する者、それを承認する者、得意先からの入金を処理する者を明確に区分することが挙げられる。
ただし、一連の業務を遂行する上で、多くの企業ではシステムが活用されていることから、各業務を行うためには、各担当者に適切な権限が付与されている必要がある。このようにシステム上における職務分掌を実現させるコントロールとしてアクセス・コントロールが挙げられる。上記の例でいうと、受注を担当する者のIDは、受注登録のみを実行できる権限が付与されており、出荷処理や売上伝票処理などが実行できる権限は付与されていないということである
b. プロセッシング・コントロール
<プロセッシング・コントロールの例>
・ コントロール・トータル・チェック
情報の処理過程において受け入れた情報の数値項目等の合計を出力情報と照合する機能である。トータルチェックとして金額等の意味のある情報が用いられる。
<具体例>
コントロールトータルチェックは、入力されたデータの合計が出力データと一致しているかを確認するための方法である。これにより、データの正確性と一貫性を保つことができる。
1. 販売システムと会計システムの連携
販売システムに入力された売上データを会計システムに取り込む際に、売上金額の合計や件数が一致しているかを確認する。
例: 販売システムでの売上合計が100万円で、会計システムに取り込まれた売上合計も100万円であることを確認する.
2. 入出金管理システム
入出金管理システムから出力された入金データを、売掛金管理システムが読み込む際に、入金額や入金データ件数が一致しているかを確認する。
例: 入出金管理システムでの入金合計が50万円で、売掛金管理システムに取り込まれた入金合計も50万円であることを確認する.
3. 在庫管理システム
在庫管理システムでの在庫データを他のシステムに連携する際に、在庫数量や金額が一致しているかを確認する。
例: 在庫管理システムでの在庫数量が500個で、他のシステムに取り込まれた在庫数量も500個であることを確認する.
4. データ移行プロジェクト
古いシステムから新しいシステムにデータを移行する際に、移行前後のデータ合計が一致しているかを確認する。
例: 古いシステムでの顧客データ件数が10,000件で、新しいシステムに移行された顧客データ件数も10,000件であることを確認する.
これらのコントロールトータルチェックを実施することで、データの正確性を保ち、システム間のデータ連携や移行が正しく行われていることを確認できる。
<システムより生成された情報を利用して実施される手作業による内部統制>
・ エラーリストのように、プログラムに組み込まれている自動化された業務処理統制において正常なデータではないと判断され、継続処理が中断となった対象データを出力した情報、あるいは、継続処理とは別の処理となった対象データを出力した情報。
<具体例>
1. 売掛金管理
会計システムから出力された売掛金のリストを基に、経理担当者が手作業で未回収の売掛金を確認し、顧客に対して支払い督促を行う。
例: 月末に会計システムから出力された売掛金リストを確認し、未回収の顧客に対して電話やメールで連絡を取る。
2. 在庫管理
在庫管理システムから出力された在庫レポートを基に、担当者が手作業で在庫の過不足を確認し、必要に応じて発注や棚卸しを行う。
ここから先は
この記事が気に入ったらサポートをしてみませんか?