ITのGeneral control -Access controlのEffectivenessをObserve- USCPA

◎General control

Internal control(内部統制)に、Information technology 、ITを導入すると、Internal control の Effectiveness と Efficiency を強化することができる。

IT による Internal control は、General control と Application control にわかれる。

General control は、全般的なコントロールであり、監査会計における ITの柱。各業務を補完し、ITの Segregation of duty(職務分離)を行う。

Auditor が Assessing control risk を Low level と見込むのならば、最初に Focus すべき Control が General control。

General control は、以下のカテゴリーにわかれる。

Organization and Operation
Systems Development and Documentation
Hardware and Systems Software
Access control
Data and Procedures

◎Organization and Operation

○Segregation of duties
Electronic data processing(EDP) の Department では、以下のように Segregation of duties が行われる。EDP department では Transaction を Process すれども、Transaction の Authorize や Initiate は行わない。

Systems analyst … System の Designing
Programmer … Program の Make up、Code の Writing
Operator … System の Running、Data の Input。
Librarian … Programs の Track の Keeping
Security … Data files や Programs の Protecting、Safeguard the system の Implementation

※上記を兼任していたら、Incompatible duty

○Contingency plan
緊急時の対応計画。定期的な Back up。Hot site、Warm site、Cold siteといった予備の情報処理施設(DRサイト)の構築がある。

・Hot site
復旧に必要なものがほとんどそろっており、すぐに復旧することができる。コストはかかる。

・Cold site
復旧に必要な場所と一部の Equipment だけがある。復旧に時間がかかる。

・Back up
定期にバックアップを行うべし。保管は外部が望ましい。

◎Systems Development and Documentation
ITによるシステムを導入すると、以下のような手法により文書化を行う。

・Systems flowcharts
システムの内容は Systems flowcharts に記述される。Systems flowcharts により、Internal control は Visually に表現され、 Internal control の Review や Understanding の Obtain のたすけになる。

・Questionnaire
質問書。

◎Hardware and Systems Software
ハードウェアとシステムソフトウェア。CPUなどの Equipment が Hardware、Systems programs やApplications programs が Software。

○Parity check
Data の Transmission の時、Character に特定の Bit を付与。Error を発見できる。別名、Parity bit。

○Echo check
Data の Transmission の時、受け手と送り手で Signal(信号)を送受信させることで Error を発見できる。

たとえば、CPU とプリンターのような Device との間で Data を Transmission するとき、CPU から Device に Signal を送り、Device から CPU に Signal を送り返させる。その Signal を比較して Error をみつける。

○Diagnostic routines
診断ルーチン。Hardware の Internal operations の動作を確認 する Utility program。

○Boundary protection
複数の Job が同時に起動しており、CPUなどの同じ Resource を Share してるときに、Program instructions を保護するための境界。

◎Access control
アクセスに対するコントロール。Auditor は、アクセスコントロールが Effectiveness に機能しているか Observe。

物理的なアクセスのコントロールとファイルへのアクセスコントロールがある。

1. Physical access controls
2. Access controls to computer files

1.Physical access controls
Server room、Computer、Fileなどへの物理的なアクセスのコントロール。以下のようなものを導入する。

Password
Key card
ID card
Guard
Biometric
Multifactor

・Biometric
生体認証。Scanner で指紋や虹彩などを読み取る。

・Multifactor
複数の Control を併用する。Password と Biometricなど。

2. Access controls to computer files
File の保護。以下のような対策を行う。

・Firewall
・Encryption

・Firewall
Networkを外部から保護

・Encryption
暗号化

○Examination
User identification や Password controls が機能していることの Evidence を Obtain するために、Auditor は Sample の Password や Access authority を Examine。Invalid な ID や Password は Reject されなければならない。

◎Data and protection
Data file を Protect するための Safeguard

・File Labels
磁気テープをはる。Internal labels と External labels がある。

・File protection ring
磁気テープの上書きを防ぐ

・File protection plans