上場会社の監査法人の交代、会計監査の実務などを解説しています。

困った監査人④ - IT全般統制の「バックアップ」を考える

たとえば、「自社の業務システム(会計システムを含む)の、(オリジナルデータではなく)バックアップデータを、外部のデータ保管会社に委託している」場合、そこのIT全般統制のキーコントロールには、何を選定すればよいでしょうか?

候補1:
「当該データ保管会社が、バックアップデータの管理業務に係る内部統制の評価書を受領し、顧客へ配付している」場合には、それを入手する。

候補2:
「当該データ保管会社が、バックアップデータの管理業務に係る内部統制の評価書を受領し、顧客へ配付していない」場合には、自社でコストをかけて、内部統制評価書を入手する。

候補3:
自社の内部統制評価チーム担当者が、「当該データ保管会社から提出される、(内部統制に特化したモノではない、単なる)業務報告書を担当者が入手し、自社で評価する」統制を整備し、運用する。

候補4:
そもそもバックアップデータであり(にすぎない)、(例えば、過去、バックアップデータを一度も本番で利用したことがない、バックアップデータが紛失したこともないなどのように、)自社の過去のバックアップ事故等の有無等の事情に照らし、財務報告リスクが低いと評価できれば、最初の、IT全般統制のRCMのデザイン時点で、バックアップのRCMを省略してしまう。

 

いかがでしょうか?

候補1は、理想ですが、そのような内部統制評価書を発行してる業者は稀です。また、この評価書自体を検証する統制もキーコントロールにセットとして加える必要があります。

候補2は、最悪です。こんなことを指導する会計士がいたら、出入り禁止モノです。

候補3は、これが一般的でしょう。

候補4は、実は、アリなのです。たとえば私が以前所属していた大手監査法人のIT全般統制のマニュアルでは、「候補として想定するがマストではない」というスタンスであり、理屈がつけばOK、つまりバックアップのRCMを省略できるのです。

(しかし、多くの監査現場では、審査に手間がかかることを、監査メンバーが嫌がり、知恵を働かせずに、マニュアルにあるものを用意してくれと言っているようです。)

候補4でも、毎年、バックアップのRCMの追加の要否を検討する工程を組み込んでおくことで、バックアップのRCMを省略することの補強にもなります。

私どもの考える 会計監査 業務

お気軽にお問い合わせください。 TEL 03-4405-7190 受付時間 9:30 - 17:30 [土・日・祝日除く]

私どもの考える 会計監査 業務

  • facebook
  • twitter
PAGETOP
Copyright © 会計・監査・研究所 All Rights Reserved.