会計システムは、財務諸表の作成に直接的に関与し、虚偽記載に直結するという点でIT統制の中でも極めて重要な評価対象となります。最近、
「市販の会計ソフトは、多くの企業に使用され、その実績が認められていることで高い信頼性が評価されていることから、IT統制について評価しなくても良いのでは」
というご質問を受けるケースがあります。
確かにオーダー開発の会計システムに比べ、虚偽記載につながる要因は少ないと思いますが、パッケージソフトの導入メリットである「安く、早く、誰でも、簡単に」をテーマに開発されたパッケージソフト特有の留意事項についてしっかり認識した上でIT統制の評価を行う必要があります。 それでは、下記に、パッケージソフト特有の留意事項について例示します。
まずは、カスタマイズ要件の明確化です。自社の運用に合わせてパッケージソフトをカスタマイズした場合、カスタマイズの内容を明確にし、そこに新たな虚偽記載リスクが発生していないかを評価することは重要です。また、パッケージ標準のIT統制を明確化し、その機能が適切に利用されているかを確認することで統制が有効に機能しているか判断できます。特に、会計システムへのアクセス管理については、仕訳データの改ざんやデータ破壊を防止するため、ユーザーID、パスワードのアクセスコントロールの仕組みが整備され確実に運用されているかを評価します。また、担当者の力量に関する問題もあります。パッケージソフトは、「誰でも、簡単に」できるシステムであるため、担当者が財務諸表の作成に関連する力量を持っているか、また、虚偽記載を防止するために必要なシステムの統制機能を理解し実施しているかを評価することは重要です。
加えて、マスタ・データの変更管理です。操作性を重視することで、マスタ・データの変更が簡単かつ上書き(rewrite)で行えることで改ざんを防止または発見することが難しくなっています。変更の履歴(自動または手動)をどのように管理しているかの確認が必要です。最後に、EUC(エンドユーザーコンピューティング)の管理です。パッケージシステムでは、提供される帳票も限られていることから、EXCELにインポートして様々な管理資料が作成されています。EUCツールが適切に運用されているかどうか評価することも重要です。ほかにも、パラメタ管理やパッケージシステムでの自動制御、制約事項の確認など、パッケージソフトであるからこそ評価しなければならない評価項目があります。