IT Auditing(AUD) 随時更新予定
USCPAのITは細かいですね。ITの用語は苦手です。。。
さっき問題解きましたが無残な結果でした。。。
実務においてはIT全般統制(ITGCと呼んでます。IT general control)はかなり大事です。ちゃんとITの開発とオペレーションとかの職務分離できてるかとか、変更管理されてるかとかアクセスコントロールできてるかとか。評価は監査法人のIT部門の人がすることが多いと思います。
こういうことができていない場合は、ITがらみの統制の信頼性が減る→テストサンプルが増加となり、現場負担はかなりのものです。
昔、私の部門でシステム移行に失敗した会社担当チームの人は、その会社に半分住み込みみたいな状況になってましたね。システムが信用できないと、大変なことになります。今思えば、意見不表明一発でよかったんじゃないかと思いますが。。。
さて、話はそれましたが、IT統制が苦手なので整理します。
・IT統制関係の前提の整理
ITの評価は大きく分けると2段階あります。
①まずITGCつまりIT全般統制の評価をします。
ここでは識別しているアプリケーション(会計ソフト等)、について出てくる数字等の最終結果の検証というよりも、変更管理、アクセスコントロール、セキュリティといった大枠がちゃんと整っているかを評価します。
↓
②次にAC(Application control)の評価、各アプリがちゃんとデータを取り込んで、ロジック通りの計算をしているか、ロジックは正しいかといった、細かい評価を行います。
この評価に必要な手続がたくさんあるみたいで、つらたん。
つらつら書いていきますが、あんまり意味が分かっていません。。整理じゃなくてただの羅列だな。。間違ってたらごめんなさい。
・ITGCでやる手続
①職務分離は適切に。
②承認と文書化をしましょう。
③アクセスコントロールは適切に。
④ハードウェアとソフトウェアのコントロール
‣boundary protection 境界の保護。どうやら、複数ジョブを走らせるケースでちゃんとジョブを並行的に処理できるかということっぽい。
‣Diagnostic routines 診断ルーチン。ハードウェアが仕様どおりの動作を行っているかどうかを調べるためのプログラムのことらしいですが、どういう意味?システム起動時に使う。
‣Echo check 受信側でデータを送信側に返送し、送信側で元のデータと照らし合わせるチェック法。相手に正しく送信されたかを確認するのに利用される。
⑤データ保護手続
‣File labels ラベルを張って誤使用抑制
‣File protection rings 上書きを防ぐ機能。読み取り専用の機能みたいなもの。
‣File protection plans 複製
・ITACでやる手続
手順はinput→process→output
①input
Control totals(なんらかの数字の合計がoutputの合計と一致しているか。)
‣Batch totals 意味のある数字の一致の確認、売上金額とか。
‣Hash totals 意味のない数字の一致の確認、レコードNo.の合計値とか。
‣Record count レコード数の一致の確認
Logic check(エラー値を入力したらはじかれるか)
‣Validity checks 特定の選択しかできない。存在しない郵便番号入れてもはじかれるとか。
‣Missing data checks 入力漏れがないか。
‣Check digits 符号の入力誤りなどを検出するために、元の符号に付加される数字のこと。バーコードとかについてるみたいです。
②Processing
‣Limit on processing 処理にあまりに時間がかからないように制限時間を設ける
③Output
‣Output limits アウトプット上限。エクセル行数の上限までしかでないとか?
・IT evidence
CAATSというやつですね。これはコンピュータを利用した監査手続です。
auditing through the computerと表現するんですかね?
なお、auditing around the computerは、インプットとアウトプットを手作業で照合するようなイメージみたいです。途中のプロセスのところはコンピューターが勝手にやっててよくわからないけど、結果は検証したらあってるよねということでしょうかね。
例えば減価償却のインプットで簿価100、耐用年数10を入力して、アウトプットの減価償却費は10で理論と一致!ということでしょうか。
問題点は、プログラムのロジックを見に行ってるわけではないので、このサンプルではたまたま大丈夫だったけど、他のサンプルでも大丈夫という保証は与えられないということです。
では、どういうCAATsがあるのでしょうか
‣Test Data ダミーデータをクライアントシステムに流して、検出できるかチェック。
‣Integrated Test Facility(ITF) 偽の部門を作り、live dataとともにダミーデータを流す。ちょっと意味が分かりません!!実際のデータに混ぜ込むってことかな?Liveのキーワード覚えるか…
‣Parallel Simulation クライアントの実際のデータを監査人のソフトウェアで処理して、アウトプットの比較を行う。
‣Embedded Audit Modules クライアントのプログラムに監査モジュールを組み込み条件に合致する取引等のログをとる。
ITは謎用語が多すぎる。。大問ででてきたらいやだな。。。