IT監査で見極めるIT統制の課題と解決法とは?
昨今の書類からデータへのデジタル化の波もあって、企業内の会計や業務プロセスを司るITシステムの構築が加速されています。
そうしたITによる統制、それらを調査・評価するIT監査についても日々情報を集め、正しく実施していくことが求められています。
そこで今回は、IT監査とIT統制の概要、IT統制のメリットとデメリット、IT監査とIT統制の課題と解決方法についてご紹介していきます。
ITシステムなどについてすぐに相談したい方は日乃出のサービスページをご確認ください。
目次
1. IT監査によってIT統制がどう見えてくる?
IT監査は会計監査の中で行われます。企業内の会計や業務システムを使ったIT統制が正しく行われているかを調査・評価することが主な目的です。
まず、IT監査の目的や、IT統制のあり方について見ていきましょう。
1-1.IT監査は財務諸表に関わるITシステムの評価・改善を目的とする
IT監査においては、主に財務諸表の数値に関わるITシステムを対象とします。
IT監査の内容をまとめると次のようなものになります。システム監査と違い、法定の基準で行うため、企業の都合で内容を決めるのではありません。
・監査目的は企業が自由に決めず、法定に従い財務報告の適正性の評価とする
・財務報告目的に沿って監査手順の内容・時期などを決める
・財務諸表の数値に関わるITシステムを対象としテスト範囲は1年間分とする
・監査を受ける企業から法的に独立している監査人が実施する
ただ、IT部門で普段行う業務や、システム監査と内容が共通する部分は当然考えられます。IT監査でITシステムの評価・助言が出たら改善策を立案し、実施していくことになります。
1-2.IT統制はITシステムを介した経営や業務の管理・統制
IT統制とは、企業内の業務や管理システムをIT(情報技術)を使って記録・統制することです。IT統制を整備・運用することで、経営や業務のプロセスが安全かつ効率的になるよう管理・統制することができます。
IT統制は分類上、「IT全般統制」と「IT業務処理統制」の2種類があります。
IT全般統制は、企業内の業務プロセスを効率的にする環境を整え、統制することです。具体的には、戦略、企画、開発、運用、保守と、これらを担う部門や制度、システムの統制になります。実務で言えば「ユーザー認証」「ログ監視」「バックアップ」など諸業務の管理・統制です。
それに対し、IT業務処理統制は、業務システムのデータ処理を中心に統制するものです。データや処理の正確性、網羅性、正当性、継続性を確保することが目的です。
具体的には、データの入力、処理、出力が正常に行われることを確保することです。実務で言えば「コントロール・トータルチェック」「二重入力チェック」などの管理・統制になります。
2. IT統制評価を巡るメリットとデメリットは?
IT統制を評価する際にはさまざまなメリットやデメリットが見出されます。それらを踏まえてメリットは確実に活かし、デメリットは抑え解消する方向で評価を進めることが重要です。以下で詳しく解説していきます。
2-1.IT統制評価によるメリット
IT統制には、上記の通り「IT全般統制」と「IT業務処理統制」の2種類があります。まず、IT全般統制評価では次のようなメリットを得られます。
1.取引、勘定残高、開示に関わる情報や処理の信頼性向上
2.業務プロセスが経営上の計画通り整備され、安全に運用される
一方、IT業務処理統制評価では、次のようなメリットを得られます。
1.データ処理の正確性、正当性、適時性、網羅性等の確保
2.計算、見積等、会計処理の自動化と信頼性向上
3.取引や営業実績の集計・分析等、経営戦略上必要なデータの信頼性向上
また、IT統制評価を内部監査部門が行えば、第三者的な独立性が担保され、業務・ITの両面を踏まえた対応ができます。
一方、IT統制評価を情報システム部門が行えば、ITリスクを踏まえたコントロールの設定等、IT統制の構築ができます。さらに、自社のITリスクを考慮し、対策を検討・実施できます。
これらのメリットから必要なものをIT統制の目標設定に加え、両部門で分担・協力すると、確実な成果が見えてくるでしょう。
2-2.IT統制評価によるデメリット
一方、IT全般統制評価やIT業務処理統制評価の過程ではデメリットも見えてきます。IT全般統制評価において考えられるデメリットは次のようなものです。
・内部監査部門が担当するとIT技術に疎いためITに係るリスク対応が困難
・評価ポイントを把握しないとIT統制の要件に合致しない評価をしてしまう
また、IT業務処理統制評価において考えられるデメリットは次のようなものです。
・情報システム部門が担当すると自己点検になり、評価の独立性を保てない
・IT技術に関するリスク検知に偏り、基準から外れた評価になりかねない
これらのデメリットから考えると、評価対象の情報システム部門から独立した内部監査部門が中心になるべきでしょう。そして、情報システム部門と協力しながらIT統制の対応を進めることが大切です。
3. IT監査とIT統制の課題と解決方法
IT監査では、会社のIT統制について把握する段階で予備知識を補うことが課題になります。また、財務諸表の適正性をどう確認するかが課題になります。
これらの課題の解決方法について見ていくことにしましょう。
3-1.IT統制評価での知識不足が課題になるなら各部門で協力し解決する
IT監査においては、監査役がITの知識に精通していないことが課題になるケースが多いようです。そうした課題を解決するには、内部監査部門に協力を仰ぐことが必要です。
例えば、情報システム部門が報告する予算の内容、トラブルの内容、専門用語、システムの仕組みについては、内部監査部門などで事前に概要及び資料を用意するとよいでしょう。
一方、IT統制評価においては、そのメリットやデメリットを考慮に入れると、内部監査部門と情報システム部門で次のように役割分担することが必要です。
・内部監査部門の役割:IT統制の評価ポイントを把握して評価をする
・情報システム部門の役割:技術面で評価を補足しIT統制評価で抽出された課題を解決する
こうした協力関係が作れると理想的です。
内部監査部門が評価するポイントは、次のような情報システム部門の業務の正当性です。
・ソフトウェアの動作の信頼性のテスト
・データの真正性のテスト
・不正な処理の防止策
・アクセス権限を承認者に限った設定
・データの改ざんを防ぐアクセス状況のモニタリング
技術面の知識は情報システム部門の協力で補足しながら、あくまで正当性を評価することが大切です。
3-2.IT監査で財務諸表の適正評価が課題なら科目ごとに検証・評価する
IT監査は会計監査の中で実施し、財務諸表が適正なのか評価することを目指します。その過程で財務諸表の適正性をどう確認するかということが課題になります。
その課題を解決するため、財務諸表を構成している現金、商品、売上高などの各科目をまず細分化します。それらの適正性の目標を監査要点という細分化された目標として確認することで解決し、評価を出していきます。
監査要点は、細分化した目標であり確認ポイントで、以下のようなものになります。
・実在性(本当にデータがあるのかという点)
・期間帰属の適切性(正しい期間に計上されたかという点)
・表示の妥当性(正しく開示されているかという点)
・権利と義務の帰属(評価対象が会社固有かという点)
・網羅性(すべて記録されているかという点)
・評価の妥当性(適切な価額かという点)
各科目とこれらの監査要点をセットにして、例えば、「売上高の実在性」「売掛金の期間帰属の適正性」などの確認ポイントにし、そこに向かって関連資料を検証・評価していくことわけです。
そのために、監査で会社の内部統制を利用するのも一つの解決方法になります。会社には本来、内部統制が構築されており、そこから監査要点に適合するものを利用するのです。
内部統制が正しく運用されていれば、期中取引の一部を調べることで取引全体の品質を推定・評価できます。そして現在、期末時点の残高が正しいという推測も成り立つわけです。
4. まとめ:「IT統制とIT監査」についてご相談を承ります
今回は、IT監査とIT統制の概要、IT統制のメリットとデメリット、IT監査とIT統制の課題と解決方法についてご紹介しました。
個々の企業ではIT統制の進み方もさまざまで、経営的な諸事情も異なります。そうした背景も考慮に入れて、IT統制のあり方、IT監査の内容について課題と対策を見極めていくことが大切です。
HINODEの「neconote(ねこのて)」では、バックオフィスのサービスをこれまで有名スタートアップ含む300社以上に、人事・総務・経理などの業務を代行から仕組化、構築後の引継ぎまで対応してきました。
・金額、スケジュール、今後のこと含めてどの会社に依頼していいか分からない
・そもそも人手不足で対応するのが難しい
・できるだけ無駄な投資は止めて、いろいろなパターンの提案が欲しい
そんな悩みを持った方は「neconote(ねこのて)」がお客様のチームの一員として驚異の速さでバックオフィスの課題を解決します。バックオフィスでお悩みなら、ぜひ「ねこのバックオフィス」のHINODEにご相談ください。
