たとえば、「自社の業務システム(会計システムを含む)の、(オリジナルデータではなく)バックアップデータを、外部のデータ保管会社に委託している」場合、そこのIT全般統制のキーコントロールには、何を選定すればよいでしょうか?
候補1:
「当該データ保管会社が、バックアップデータの管理業務に係る内部統制の評価書を受領し、顧客へ配付している」場合には、それを入手する。
候補2:
「当該データ保管会社が、バックアップデータの管理業務に係る内部統制の評価書を受領し、顧客へ配付していない」場合には、自社でコストをかけて、内部統制評価書を入手する。
候補3:
自社の内部統制評価チーム担当者が、「当該データ保管会社から提出される、(内部統制に特化したモノではない、単なる)業務報告書を担当者が入手し、自社で評価する」統制を整備し、運用する。
候補4:
そもそもバックアップデータであり(にすぎない)、(例えば、過去、バックアップデータを一度も本番で利用したことがない、バックアップデータが紛失したこともないなどのように、)自社の過去のバックアップ事故等の有無等の事情に照らし、財務報告リスクが低いと評価できれば、最初の、IT全般統制のRCMのデザイン時点で、バックアップのRCMを省略してしまう。
いかがでしょうか?
候補1は、理想ですが、そのような内部統制評価書を発行してる業者は稀です。また、この評価書自体を検証する統制もキーコントロールにセットとして加える必要があります。
候補2は、最悪です。こんなことを指導する会計士がいたら、出入り禁止モノです。
候補3は、これが一般的でしょう。
候補4は、実は、アリなのです。たとえば私が以前所属していた大手監査法人のIT全般統制のマニュアルでは、「候補として想定するがマストではない」というスタンスであり、理屈がつけばOK、つまりバックアップのRCMを省略できるのです。
(しかし、多くの監査現場では、審査に手間がかかることを、監査メンバーが嫌がり、知恵を働かせずに、マニュアルにあるものを用意してくれと言っているようです。)
候補4でも、毎年、バックアップのRCMの追加の要否を検討する工程を組み込んでおくことで、バックアップのRCMを省略することの補強にもなります。
■
