IT統制、特に業務処理統制について、実施基準においては、
(1) 入力情報の完全性、正確性、正当性等を確保する統制
(2) 例外処理(エラー)の修正と再処理
(3) マスタ・データの維持管理
(4) システムの利用に関する認証、操作範囲の限定などアクセスの管理
以上の4つの統制が例として示されています。
実際の整備・評価において、別途RCMによる対応を行うかを含め、「どこまでやるのか」が難しく感じるところです。詳細に入力設定、エラー設定などのコントロールを先行して特定してゆくと、「システム設計書」レベルのコントロール数になり、テストも膨大な作業となります。また、会計ソフト等のアプリケーションソフトについては、ユーザー側(組織)では把握できない部分も多くあります。結果として、業務プロセスにおいて「特定されたリスクを対象」にIT業務処理統制を特定・評価する本来のアプローチにより、「評価すべきIT業務処理統制」を限定し、絞り込むことが重要であるように思います。
他方、業務・運用担当者では気のつかない重要なデータ処理やリスクが存在するもの事実です。前述の通り、まず業務フローチャートにて特定されたリスクに対応する4つのIT業務処理統制を特定し、さらに業務・運用担当者で把握されていない重要なリスクや統制を追加することで、効率の良いIT業務処理統制評価を実施することが重要であるように思います。