アドバイザリー
連載 「たかがIT全般統制、されどIT全般統制」

第1回: IT全般統制って難しそうですね。。というかIT全般統制って何?(その1)

2011.12.08
新日本有限責任監査法人 ITリスクアドバイザリー部
漆間 智久

金融商品取引法に基づく内部統制報告制度(いわゆるJ-SOXです)の適用から約3年が経ち、その運用も当初に較べて大分落ち着いてきていると思います。大々的にあるいは密かに、次のステップとして内部統制の最適化・効率化等に向けて取り組まれている会社も多いのではないでしょうか。

この財務報告に係る内部統制には、ITが関連する統制として「IT全般統制」という領域が含まれています。しかしこの「IT全般統制」という部分、その他の業務プロセスの統制とちょっと立ち位置が違っているためか、依然として、「結局、IT全般統制って何?」「監査で指摘を受けたけど何でこんなことやるの?」「会計の話だから経理部はいいとして情報システム部は何で関係するの?」のような疑問を持たれている方は少なくないと思います。

このコラムでは、なるべく現場の声に耳を傾け、「IT全般統制」の話題を中心に、「IT全般統制とは何なのか」「なぜ必要なのか」「何をするのか」といった身に付けておきたい基本的な知識から、会社だけでなく監査人をも悩ませるさまざまな状況などを連載物で分かりやすく解説します。

第1回: IT全般統制って難しそうですね。。というかIT全般統制って何?(その1)

今年も早いもので、もう12月になりました。3月決算会社であれば第3四半期、12月決算の会社であれば第4四半期に突入というところで、監査法人もこの時期四半期レビューや業務処理統制等の監査でお邪魔させて頂いております。この時期はIT統制監査を専門に行う私達も忙しくあちこちの会社にお伺いしております。

本日も、とある製造業の会社にお伺いしています。

「今年もこの時期がやって参りましたね。」とはシステム部長さんのご挨拶。
はい。今年もよろしくお願い致します。
「事前にご依頼のあった資料は、一通り揃えています。あっそれと、システム監査とは別の部屋ですが会計監査の人達も来ていますよ。」
そうですね。後で評価方針の打ち合わせでもしようと考えています。

「でも、システム監査って会計監査と関係ないから、今日はたまたま重なっちゃったというところですか?」
どうも誤解されているようです。私たちは会計監査の一環の手続でお伺いしています。それでは今日はこの辺の説明から入りましょうか。


-まずはシステム監査とIT統制監査の違いから-

「御社は毎年継続してシステム監査を実施されていますか?」
「えっ? 毎年システム監査で来られているじゃないですか。今日もこのとおり。。」

まずはここから始めましょう。
経済産業省がシステム監査のバイブルともいうべき「システム監査基準」を公表しており、その中でシステム監査の目的を次のように定義しています。

システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。

(システム監査基準:II. システム監査の目的)

この定義から見られるポイントは以下のようにまとめられるでしょうか。

① 監査対象から独立かつ専門的立場のシステム監査人が実施
② 組織体の情報システムにまつわるリスクに対するコントロールを検証又は評価
③ 組織体への保証あるいは助言によりITガバナンスの実現に寄与

「やっぱりいつものシステム監査と同じじゃないですか?何か違いますかね?」

確かに全体的には似ていますが、よく見るとその中身は違うのです。
①の独立した立場の専門家が実施するところは良いとしても、②はシステム監査が情報システムに関するリスクに対するコントロール全般を対象としているのに対し、IT統制監査はそのうち財務報告に影響を及ぼす部分に限られています。 つまりシステム監査の場合はそこで設定される監査目的に応じて監査の範囲や対象が変わりますが、IT統制評価の場合は専ら財務諸表の適正性に関連する部分で範囲や対象が決まります。

なぜ監査の範囲や対象に違いが出るかというと、次の③の部分、この監査の目的に関する部分が基本的に異なるからです。
システム監査は任意に行う監査であって会社の要望に応じてその監査目的も様々です。例えば「情報漏えい防止のためにシステムが持つ個人データの管理体制をチェックしたい」等ですね。この場合、個人データを保有するシステムの範囲とそのアクセス管理方法が主な対象として選ばれることになります。

一方で、IT統制監査の場合には、以下のように財務報告の適正性について意見を述べるという法定監査目的のために行われます。従って、IT統制監査は財務報告に関連するシステムの範囲とそのシステム管理方法が対象として選ばれます。

財務諸表監査の目的は、経営者の作成した財務諸表が、一般に公正妥当と認められる企業会計の基準に準拠して、企業の財政状態、経営成績及びキャッシュフローの状況をすべての重要な点において適正に表示しているかどうかについて、監査人が自ら入手した監査証拠に基づいて判断した結果を意見として表明することにある。

(監査基準 第一前段)

「ふーん、じゃあやっぱり、会計監査としてやっているってことなのですね。」
そうです。実施する監査には必ずその目的があります。ちなみに、うちは毎回往査前にIT統制監査のご案内として監査目的を明示しています。
「あー、あれはそういう意味だったんですねぇ。」

とりあえずはシステム監査とIT統制監査は違うものだと分かって頂けたようで良かったです。とはいえ、ここではIT統制監査と呼んでいますが、会計監査に対応する適当な分かりやすい名前も無いので、システム監査と呼んでいるケースは往々にしてあります。両者の違いが分かっていれば、いずれの呼び方でも問題ありません。

「いや、ちょっと待ってくださいよ。そうすると、システム監査の方はシステムの信頼性や安全性などを見るわけだからまだやる意味が分かるけど、会計監査の財務報告目的と、えーIT統制監査でしたっけ、はあんまり関係ないような。。」

そうです。これからが本題です。でも紙面の都合というのがあるようですので、この続きはまた次回に。

(次回は、引き続き会計監査とIT統制監査の関係について解説致します。)

コラムに記載された内容は執筆者の所属する法人、関連する団体の公式見解ではありません。

連載 「たかがIT全般統制、されどIT全般統制」




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?