第３章　内部統制構築に向けた実務対応

１１．ＩＴアプリケーションコントロール

最後に、ＩＴアプリケーションコントロールについてご説明したいと思います。ここではデータの移動に関して二種類のパターンが表現されています。基幹系システムというところに伝送でデータが入ってくる場合と、もう一つ、手で入力してシステムに投入している場合です。 　取引先からオンラインでデータが入手される場合におきましては、先ほどのリスクの発生箇所の話で出てきたとおり、データのインタフェース箇所ですので、リスクというのは認識される。データですので、ここでは通常、網羅性つまり漏れがないかという種類のリスクが認識される。手入力の場合は、漏れというリスクの他に、入力間違いということがどうしても起こり得ますから、正確に入力されないというリスクが認識されます。 　システムへデータが網羅的に送られていますかというコントロールとしては、システムに何件送って何件エラーになったというのがプリントで出てくるような機能があればそれで問題ありませんし、ログの記録で何件エラーになったということが記録として残るというのも一つのコントロールになります。ただシステムにはなくても、マニュアルのコントロールとして、何件送った、何件受けたという件数のやりとりがチェックされているのであれば、それはそれでコントロールとして有効と考えてよろしいと思います。全ての統制機能がシステムに組み込まれていなければいけないというのは誤解です。効率性とコストとの兼ね合いを常に検討するべきです。 　基幹系システムの処理、プロセスの部分ですけれども、これが正確に正しく行われているかということを、リスクとして認識するのですが、システムを導入するときや更新するときに、しっかりとテストしてバグを解消した結果、使用されているのだと思います。システムの場合、後は常に同じ結果、つまり正しい処理がなされるわけですから、この部分におきましては、ＩＴの全般統制の評価に大きく依存していくことになります。ファイルを正しく更新するというのも同じです。全般統制の中で最初にシステムをつくったときにどのような評価を行っていくかというところに大きく依存します。 　基幹系システムから財務会計システムにデータが伝送される場合は、先ほどの外部との伝送と同じ話です。 　このように財務報告の信頼性に限って言えば、システムのリスクの発生場所とコントロールというのもパターン化できます。あまり複雑に考える必要はないのです。 　ところで、この図－16自体はＩＴのアプリケーションコントロールについて簡単に説明する意味でつくったのですが、実は財務報告の信頼性を確保する上で一番重要なリスクポイントというのがここで表現されています。財務会計システムに直接手入力で行っているもの、一部の振替伝票とかは財務会計システムに直接入力することがあるかもしれません。特に決算整理伝票は、基本的には現場で作成されたデータに基づいて作成されるわけではありますが、経理部門において直接財務会計システムに登録しています。せっかく上流のほうで正確性を担保するために様々なコントロールを駆使して作り上げてきた財務会計のデータが、ここで一枚の誤った伝票を入れることによって信頼性が全部損なわれてしまうことにもなりかねません。この部分でのコントロールというのが財務報告の信頼性を確保するためには最も重要といっても過言ではありません。どのような伝票が入っているのか、だれが承認してそれを入れているのかということです。 　私が監査法人で取得した内部統制の知識プラス文書化作業の現場で学んだコツは以上になります。まだ作業に入っていない段階でコツだけ教えてしまうのもなかなかイメージがわかないところかと思いますけれども、皆さんが作業を開始する直前とか直後に、もう一度この章を開いて思い起こしていただければ少しはお役に立てると思います。