アドバイザリー
連載 「たかがIT全般統制、されどIT全般統制」

第3回: IT全般統制って難しそうですね。。というかIT全般統制って何?(その3)

2012.04.20
新日本有限責任監査法人 ITリスクアドバイザリー部
漆間 智久

このコラムは、IT監査の入門者向けに作成しています。

前回に引き続き、長々と(細々と?) 続いているこのコラムですが、今回から内部統制のお話に移ってゆこうと思います。

はい。会計監査とIT統制監査はどう関わっているのかというお話でした。しかし、この関係は二言三言で説明できれば良いのですが、どうも難しいようなので、まずは別室に来ている会計監査の人達がそもそも何をしているかということからお話する方が良いと思います。

監査ではなぜ内部統制が必要?

「前回は監査要点のお話でしたね。そして今回は内部統制ですか。。そういえばこの2つって何か繋がっているのですかね?」

前回では、貸借対照表や損益計算書を出発点として、科目ごとに監査要点という細分化された目標を設定してこれを立証するための手続について現金預金を一例としてお話ししました。ところで、現金預金 10百万円、売掛金 500百万円、固定資産 300百万円... というのはどうやって確認できますか?

「どうやって? 現金は金庫の有高確認と預金は残高確認って説明してましたよね。」

いえ、すみません。それはそうなのですが、現預金も売掛金も現在(期末)時点の残高ですね。それぞれの科目には期首時点の残高があり、期中の取引を繰り返すことで金額が増減して、その結果、現在時点で見ると現金預金 10百万円、売掛金 500百万円の残高になっているという状態です。もし、期中の取引がきちんと記録されていなかったとしたら、現在(期末)時点で、最終的にそれぞれ10百万円、500百万円の残高になったということは、どうやって確認できますか?

「それは、日々の取引を見るしかないのでは無いですか?」

そうですね。日々の取引を追跡して、科目がいついくらどのように増減するかを確認する必要があります。ただし、それを実施することはかなり難しいでしょう。仮に年間に取引が数える程度しか無い場合であれば、そのようなことも考えられます。しかし、通常の企業であれば取引の種類も件数も相当なボリュームになり、実施出来る可能性はかなり低いと言わざるを得ません。では、どうするのかと言うと、内部統制という概念と試査と呼ばれる方法を利用することになります。

まずは、試査と内部統制とはそれぞれ何なのかを確認しましょうか。以下の説明は一般的な監査論等のテキストに記載されているものです。

まずは「試査」です。

試査とは、特定の監査手続の実施に際して、母集団からその一部の項目を抽出して、それに対して監査手続を実施すること。

続けて「内部統制」です。

内部統制とは、事業経営の有効性と効率性を高め、企業の財務報告の信頼性を確保し、かつ事業経営に係わる法規の遵守を促すことを目的として企業内部に設けられ、企業を構成する者のすべてによって運用される仕組みである。

どちらも専門用語ではありますが、「試査」はイメージしやすいかも知れません。簡単に言ってしまえば、たくさんあるものの中からサンプルを抜き取って詳しく調べるということです。J-SOXでもおなじみの合言葉「25件サンプル」は、その背景に試査という考え方が表れています。ちなみに、この試査に対立する言葉として、「精査」なるものも存在します。

一方で「内部統制」の方は、上の説明を見る限り、ちょっとイメージしにくいですね。これも誤解を恐れずに簡単に言ってしまえば、会社がいろいろな業務処理をするに当たってのチェックの仕組みということになります。具体的には例えば、これも監査人が一番良く使う言葉「その承認の記録はありますか?」の承認などが典型的なものです。何のためにこのようなチェックを設けるのかと言えば、上にも書かれているとおり、事業活動の有効性・効率性を高める、財務報告の信頼性を確保する、法規の遵守を促す、という目的を達成することにあります。

そして、会計監査で内部統制を必要とするのは、主に財務報告の信頼性を確保するという目的のために仕組まれた業務処理のチェックの部分(すなわち内部統制)が、前回説明した監査要点の確認にあたって程良く適合しているためです。つまり、会社が設定した内部統制というのは、監査する側から見れば、確認したい監査要点を会社の期中取引に展開したと見なせるものに他ならないからです。

ここでもう一度おさらいします。

  1. 監査の目的は、財務諸表が適正に表示されているかどうかについて意見を述べること。
  2. しかし、財務諸表全般を見ていても適正かどうかは分からない。
  3. では、財務諸表を構成している科目に細分化して、それに合わせて適正性の目標を監査要点という細分化された目標に落として確認することにしよう。
  4. ただし、表示されている科目は期中取引を経て増減した現在(期末)時点の残高で、その前にこの残高が正しいという前提を確認しなければならない。
  5. そうすると、期中の取引も確認する必要があるが、取引量から考えれば通常はとても全部見きれない。
  6. それなら、会社にある内部統制を利用しよう。会社には様々な内部統制が構築されているがその中には監査で設定している監査要点に適合するものも含まれているだろう。
  7. そして、その内部統制が適切に整備運用されているのであれば、取引の一部(サンプル)を調べることで取引全体の品質を推定できる。そこで現在(期末)時点の残高が正しいという前提ができるだろう。

実際の現場では、もっと細かく厳密に検討してゆくのですが、基本的な考えの流れのイメージとしてはこのようなものになるでしょう。

でもこれ、監査から見た内部統制の必要性というお話です。内部統制は監査のためだけにあるものではありません。そもそものお話、企業にはなぜ内部統制が必要か、というのはご存知ですよね?

「えっ?」

(次回も、引き続き会計監査とIT統制監査の関係ということで、内部統制について解説致します。)

コラムに記載された内容は執筆者個人の説明であり、所属する法人、関連する団体の公式見解ではありません。

連載 「たかがIT全般統制、されどIT全般統制」




情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?