システム監査のノート

• A社・・・外食産業チェーン運営企業
  • 全国に300店舗
  • 財務報告にかかわる内部統制報告制度が適用される

⇒　内部システム監査の一環として、店舗販売プロセスについてIT全般統制、IT業務処理統制の評価を実施する

概要は以下の図の通り。

• B社ASPサービスを利用している。

• 締め処理を1日2回実施。

• POSシステムから受信した売上データにより売上明細DBと債権残高DBが更新される

(i)	未受信について	売上データ受信が完了しているかどうかは、店舗管理システム（ASP）から出力される未受信一覧表を利用
(ii)	残高債権リスト	債権残高DBから出力され、債券帳簿として利用。 経理部はASP端末から債権入金データ入力とシステムへの修正入力をする。 店舗管理システム側に入力データの承認機能がある
(iii)	明細リスト、集計リスト	検索機能を利用しASP端末から出力できる
(iv)	アクセス制御	ASPサービス利用のためのID付与あり。ID自体はB社で発行。 以降のメンテナンスはA社で実施。
(v)	異常時	A社で異常を発見したらA社システム部を経由してB社に連絡

• 店舗管理システムの売上明細DBから、日次バッチで取得する
  • 店舗の売上分析、顧客分析はDWHに格納したデータをもとに分析ツールを実行する
  • 営業部が分析ツールを使い集計結果を出力。（ただし条件は都度設定し分析ツールを実行）
    • 売上合計表を作成している

• 市販のソフトウェアパッケージ
• DWHで作成した売上合計表に基づいて、仕訳伝票の起票とシステムへの「手入力」を実施

• IT全般統制をB社あてにチェックリストを送付し回答結果を評価するだけでは不十分である

　　　　　　　　　　　　↓

これだけでは、B社の自己評価であり、内部統制上の不備を不適切に報告してくれるとは限らない
　↓
B社の自己評価に対してA社自ら評価作業をすべき

• 未受信一覧表を使ったコントロールを有効に機能させるために必要な手作業によるコントロールについても評価すべき

　　　　　　　　　　　　　　

未受信一覧表を使ったコントロール　＝　締め処理忘れを予防するコントロールのこと
　　　　　　　　　　　　　　↓
未受信一覧表で休日店舗以外の出力状況を確認し、一覧記載の店舗に締め処理を促す作業

• 店舗管理システムのDB更新処理について、A社、B社それぞれに責任を負うコントロールを明確にすべき
  • 債権入金データの入力の正当性に関するコントロールの場合は、

【A社】・・・ユーザIDが承認された依頼書に基づいてメンテナンスされること
【B社】・・・入力データは承認機能で確定されること

というコントロールをそれぞれ持っているべき。

• DHWからの出力結果についての完全性と正確性についてのコントロールを評価すべき

　　　　　　　　　↑

条件を正確に設定していないと、売上合計表の集計金額を誤ってしまうリスクがある。
※その結果、会計システムの結果も誤ったものとなる