コラム

Column

パッケージシステムの評価に関する整理

Other
2026.01.16

市販のパッケージソフトウェアを利用する場合、ユーザー企業がソースコードや内部データベースへ直接アクセスできないケースが多く見られます。このような環境では、ITの利用に伴う固有リスクが比較的小さく、財務報告の信頼性へ与える影響も限定的となる場合があります。

固有リスクが低ければ、統制リスクを十分低い水準に抑えるために要求される内部統制も簡素化でき、結果として内部統制の評価手続も効率化できる可能性があります。

■ ITAC(IT自動化統制)の評価におけるパッケージ特有の考え方

パッケージの標準機能として提供されているレポート類(例:売上一覧、得意先残高など)が内部統制で利用されている場合、

  • 標準機能として広く市場で利用されており、
  • 開発会社が公式に提供している仕様に沿って動作している

と判断できれば、レポートの正確性や妥当性を改めて詳細に検証しなくても信頼できると判断することがあります。

■ IT全般統制(ITGC)の評価における配慮

技術仕様やソースコードが公開されておらず、ユーザー側で改変できないパッケージソフトウェアの場合、

  • プログラム変更管理
  • インフラレイヤのアクセス制限

といった領域の一部は 評価範囲を限定できる可能性 があります。
ただし、これは“アクセスできないこと”が内部統制の一部を代替しているためであり、無条件に評価不要となるわけではありません。

簡便的に評価する際の典型的な視点

1. 環境理解:カスタマイズの有無

パッケージソフトウェアには、ユーザー企業の要件に合わせて一部機能を拡張できるものがあります(例:外部システムとのインターフェース、追加レポートの出力等)。
カスタマイズ部分が存在する場合、その領域は通常の開発システムと同様に詳細な評価が必要となります。そのため、

  • ユーザーガイドや機能一覧の確認
  • インストールディレクトリの内容確認

などを通じて、標準機能とカスタマイズ部分の切り分けを行うことが重要です。

2. 環境理解:アプリケーションを介さないデータ更新の可否

アプリケーションを通さずにデータを直接編集できる場合、データ保護に関する内部統制の評価が必須となります。
評価にあたっては、

  • 仕様書
  • インストール手順書

などを確認し、データベースに直接アクセス可能かどうか(技術的可否)を把握します。

3. 変更管理:バージョンアップの取扱い

カスタマイズのないパッケージでは、ユーザー企業の要望による個別改修は基本的に発生しません。
ただし、開発会社が不具合修正、新機能追加、法改正対応などを目的としてパッチやバージョンアップをリリースすることがあります。
監査では次の点を確認します:

  • (ITGC) バージョンアップの内容が事前に確認され、ユーザー部門が適用を承認しているか
  • (ITへの依拠) バージョンアップによって内部統制上重要な機能が変更されていないか

カスタマイズ部分がある場合は、

  • カスタマイズ領域の変更管理
  • バージョンアップがカスタマイズに影響を与えないかの事前検証

も評価対象となります。

4. 運用管理:ジョブ管理

ITへの依拠が特定のジョブ(バッチ処理)によって実行される場合、そのジョブが適切に管理されているかを確認します。
パッケージにジョブ機能が組み込まれている場合は特に、

  • ジョブ管理画面へのアクセス権が適切に制限されているか
  • 不正変更から保護されているか

など、全般統制に該当するアクセス制限の評価が求められます。

5. 運用管理:バックアップ・リカバリ

パッケージシステムでも、バックアップやリカバリの評価は通常のシステムと同様です。

  • 環境全体をバックアップツールで取得する方法
  • パッケージが提供するバックアップ機能を利用する方法

どちらの場合も、

  • データだけでなく設定値等も復元できるか
  • 手動で再設定できる手順書が整備されているか

といった点を確認します。

6. 運用管理:障害管理

障害発生時の評価も基本的には通常のシステムと同様ですが、パッケージの場合は利用企業側で修正できないため、開発会社の修正パッチを待つ必要がある点が特徴です。
そのため、

  • 障害発生後に一時的な業務プロセス変更が行われた場合
  • 内部統制に影響する代替手続が設けられた場合

などは、その影響を監査手続に反映する必要があります。

7. アクセス制限:アプリケーションアクセス制御

ITに依拠している場合、アプリケーションレイヤのアクセス権管理は必ず評価対象となります。
評価視点はパッケージでないシステムと基本的に同じです。
一方、

  • カスタムプログラムなし
  • アプリケーションを介さずデータ更新ができない

と判断できる場合、インフラレイヤ(OS・DBMS)のアカウント管理を必ずしも詳細評価しなくてよい場合もあります。

ただし、SSO(Single Sign On)などインフラの認証機能を利用している場合は、インフラ側のアカウント管理・パスワードポリシーが評価対象となる可能性があります。

■ まとめ

パッケージソフトウェアを利用する場合は、

  • 固有リスク
  • カスタマイズ有無
  • データ更新可能性
  • バージョンアップ影響

など、パッケージ特有の条件を踏まえて、ITAC・ITGCの評価範囲を適切に調整していくことがポイントです。

«
»

コラム一覧

当社のサービス・ご相談
は下記よりお問合せください。