自動化された情報処理統制(ITAC)の評価手続き
- ITAC
- 2026.01.16更新
自動化された情報処理統制の評価手続(どうやって確かめるか)
統制の仕組みを仕様書やヒアリングで理解したうえで、次の方法で「期待どおり動くか」を確認します。
① サンプルテスト(運用状況の検証)
一定期間の処理結果をサンプルで抽出し、規定どおり処理されているかを確認します。
例:外貨換算の正確性を検証する場合
- 売上金額 × 為替レート で再計算
- 記録されている換算額と一致するかチェック
→ 一致すれば、同じロジックで処理される他の外貨についても信頼性が高いと判断できる
自動化された統制は“処理パターンが一定”のため、少数のサンプルで全体を推定できます。
② 再実施(再現テスト)
統制と同じ処理を試験環境や本番環境で再現する方法です。
例:
- 権限のないIDでログインを試み、アクセスできないことを確認
- テストデータを流し、仕様どおりの計算結果になるか検証
- 本番データをテスト環境で処理し、結果が一致するか確認
“統制の機能そのもの”を直接確かめるため、説得力が高い手続です。
③ ソースプログラムのレビュー(コード確認)
開発担当者やIT監査員が、ソースコードを確認し、ロジックが正しく書かれているかを検証します。
ただし、時間・専門性が必要であり困難なケースがある。
④ システムクエリーのレビュー(SQL等の確認)
SQLなどの問合せ文を確認し、どのテーブルから、どの条件で、どのデータを抽出しているかを検証します。
例:
- 抽出条件に誤った日付範囲が設定されていないか
- 不正なフィルタでデータが除外されていないか
- 更新系クエリーが誤っていると、データ破壊につながるリスクの確認
SQLを使わずに設定できるツールもあり、その場合はツール上の設定内容を確認します。
■ 期中と期末の評価の取り扱い
期中に評価を実施した場合でも、次が確認できれば期末の再評価は不要です。
- プログラムや仕様が期中から期末まで変更されていないこと
(変更履歴、バージョン管理の確認)
■テスト環境やステージング環境で実施した場合の取り扱い
また、テスト環境やステージング環境で実施した場合は、次を確認します。
- 試験環境と本番環境が同じバージョン・同じ設定であること