GAITとは、”Guide to the Assesment of IT General Controls Scope
based on Risk”の略称で、Institute of Internal Auditors (IIA “http://www.theiia.org”>www.theiia.org)が2007年1月に発行した、IT全般統制の評価対象を選定する際のガイダンスである。元々の問題意識は、SOX404監査で不必要なテスト対象を選択することで監査効率が著しく悪化したことを踏まえているため、当然にトップダウン・リスクベース・アプローチを採用している。
Audit Standardが定めているのは、テスト対象とすべきコントロールは、誤謬や不正を適時に予防ないし発見するためのコントロールであり、GAITは以下の「4つの原則」を提唱し、それに基づくガイドを定め、コントロール手続選定のガイドとしている。
- 原則1:IT全般統制(ITGC)プロセスにおけるリスク及びそれに関連する統制手続の識別は、重要な勘定やその勘定に関係するリスクとキーコントロールを識別するのに用いたのと同じ、トップダウン・リスクベースアプローチを継続的に用いること。
- 原則2:ITGCプロセスのリスクとして識別しなければならないのは、財務に関わる重要な(significant)アプリケーションにおける重要な(critical)IT機能と関連するデータに影響を与えるリスクである。
- 原則3:ITGCプロセスのリスクとして識別しなければならないのは、各プロセスと多様なITレイヤ(アプリケーションプログラム、データベース、OS、ネットワーク)に存在している。
- 原則4:ITGCプロセスのリスクは、ITの統制目的を達成することにより軽減されるものであり、統制手続単独によるものではない。
この原則に従って評価対象となるITGCの統制手続を選定すれば、余計な手続を選択しないことから、効率よく評価を進めることができるとしている。
GAITの適用は以下の順序でなされる。
- 重要なIT機能を識別し、必要であれば評定する。
- ITGCのテストが必要な重要なアプリケーションを識別する。
- ITGCプロセスのリスクと関連する統制目的を識別する。
- 統制目的に適うITGCをテスト対象として識別する。
- 適切な人にレヴュを受ける。
特に次の点が強調されている。
フェーズ2において、重要なアプリケーションを識別するに当たっては、以下のいずれにも該当しなければ、財務的に重要な機能ではないため、ITGCへの依拠もないとしている。
- キーとなる自動化された統制
- キーレポートや他のハイブリッドコントロール(IT機能、画面、レポートなどに依存する人的コントロール)
- その他の重要なIT機能
- キーコントロールの不全その他重大な誤謬に繋がる可能性のあるデータを変更する機会があること。
そのデータは取引ないし参照されるデータ(価格、与信限度、など)である。
リスクアセスメントがボトムアップで行われた際の対処方法として以下の記述がある。
- その問題によって潜在的に影響があると考えられるアプリケーションを識別する。
- 識別されたアプリケーションごとに、リスクアセスメント方法をレヴュする。
-
- そのアプリケーションに重要なIT機能があるか
- その問題は、重大な誤謬を発見できないような、承認されないデータの変更を表しているか。
あるいは人的統制とIT統制の組合せでその問題から生ずるリスクを合理的なレベルまで軽減するか。 - リスクアセスメントは、影響を受けるレイヤや関連するITGCプロセスを考慮しているか。
- 新たなリスクが
-
- 識別されなければ、その問題を加えるべきかどうか再検討する。
- 識別されれば、ITGCが追加されるかどうか判断する