５ Information Technology ４

CONTROL OVERVIEW

Cost Vs. Benefit　重要なのは、費用対効果を考えてやらなければいけません。

Basic Objectives

・    Financial Reporting

・    Operations：キーワードはEffectiveなのか、Efficientなのか、です。

・    Compliance

Internal Control Components 監査でも行う内部統制のコンポーネントは５つに分かれています（CRIME）。

1. Control Environment ( E )：キーワードはAttitude経営姿勢、organization’s structure、取締役会・監査委員会の役割です。

2. Risk Assessment ( R )：いろんなリスクを測ります。

3. Control Activities ( C )：有名なSeparation of Duty職務分離です。

4. Information & Communications ( I )：風通りが良くなければいけません（どんなふうに会計情報が伝達されるのか）。

5. Monitoring ( M )：劣化を防ぐためにMonitoringしなければいけません。

Control Activities

とても重要です。監査ではSeparation of Duty。

・    Preventive Controls：例はhash totals。エラーやFraudを防ぎます。流れでいうと、early in the control sequence。３つのコントロールの中では一番安いです。Separation of Dutyはここに入ります。

・    Detective Controls：キーワードはafter they have occurredエラーやFraudが起こった後にDetectします。（Preventiveはbefore、Correctiveもafter。）

・    Corrective Controls：直します。Usually the most expensive to implement。

Information Risks

・    Processing Data：Incorrectなデータ、または全部入力されていないのに（連絡先が抜けているなど）記録されてしまう。Maintenanceでは、Data may not be maintained properly。

・    Control Types：Separation of duties。Physical controls（ロックがかかっているかなど）。

SEPARATION OF DUTIES

AuthorizationとRecord KeepingとCustody（ARC）は分けなければいけません。同じ人がやっている場合は、Incompatible Dutyです。分けることによってfraudのリスクを減らせます。

IT DepartmentとAccounting Departmentも分けるべきです。

ApplicationをDevelopする時に重要なのは、ApplicationをProgramするFunctionプログラマーは、他のIT Functionとも別れているべきです。

Rotationもしなければいけません。mandatory vacations。

PHYSICAL CONTROLS

なんといってもAccess Controlsです。コンピュータルームに入れるのは、特別なバッジを持った人だけ。データファイルのアクセスには、パスワードが必要。パスワードをAssignするのは、Database Administratorということは覚えておきましょう。

GENERAL CONTROLS

Data Center：コンピュータは湿気に弱いので、湿度や温度のコントロール。電力供給の弱いところではpower fluctuations。そしてDisaster recovery。マニュアルなど書面で残しておく。

Software：ソフトウェアのDocumentationも書面で残しておかなければいけません。unauthorized changes があるかもしれないのでMasterやtransaction file のconversions。プログラミングはApprovalがなければ変えてはいけません。

APPLICATION CONTROLS

Data-Input Control：重要なのがControl Totals。①Financial total売り上げ残高など、➁Hash total従業員のSocial security番号やInvoice＃、➂Record count件数など。Data Entry VerificationではReasonableness Checks。Valid field/character tests漢字しか入力できない所には漢字しか入力してはいけません。Sequence check ＃1234のInvoiceの後は、＃1235を入力しなければ＃1236を入力することが出来ません。Check digitはじめの４桁は4980から始まっているなど。

File Control：Labelsのコントロール。Access見せる人の制限をしておきましょう。改ざんできないようにRead-only designationsしておきましょう。鍵をつけましょう。バックアップしておきましょう。燃えても大丈夫なように、バックアップを会社の外に置いておきましょう。

ADDITIONAL GENERAL CONTROLS

Hardware Controls：試験に出るのがEcho check。プリンターのアイコンをクリックするとプリンターから信号が返ってきて紙を吐き出すので動いているのが分かる

Documentation Controls ( OP SOUP )：いろいろなDocumentationが必要です。Operations、Problem definition、Systems、Operator、User、Program（Application)

海外格安航空券を探すなら　スカイチケット！