top of page
検索

内部監査に向き合う Part.17 -情報システム②-

  • 執筆者の写真: 長嶋 邦英
    長嶋 邦英
  • 6月8日
  • 読了時間: 6分

更新日:6 日前

 内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。

 今回は情報システム②です。







情報システムを監査する目的を振り返る

 前回の記事「内部監査に向き合う Part.16 -情報システム①-」で、「情報システムを内部監査するときは視野を広く、観点を多く持つことを念頭に置くことをお勧めします」とご紹介しました。これは情報システムを監査すると言えば情報セキュリティがメインになってしまう傾向となっている状況をしばしば見受けたためです。もちろん、会社にとっては情報システムを構築するうえで主要なリスクと言えば情報セキュリティであることは間違いありません。しかし、私たち内部監査は情報セキュリティばかりに気を取られてしまうと、大きな抜け漏れ・見落としをしてしまうかもしれません。これは内部統制においても同様です。これは内部監査の皆さんにとっては釈迦に説法かもしれませんが、IT統制の目的はITシステムの利用状況やセキュリティを管理しリスクをコントロールする仕組みであり、これを評価するのが内部統制評価者である私たち内部監査です。情報セキュリティはリスクをコントロールする仕組みの一部です。会社は業務の有効性及び効率性、報告の信頼性を確保するために情報システムを利用するのですから、評価する/監査する側としても情報システムに対して視野を広く・観点を多く持つことが求められるということがわかります。


 少し脱線します。

 上のように説明しますと、以前の記事「- IT統制とISMS認証 - 」でご紹介した内容を違うのでは?と思われるかもしれません。そこでは「IT統制とISMS認証には目的の面で多くの接点があり、親和性が高いものであるといえます」とご紹介しました。これはISMSとJ-SOX両方に「「機密性」「完全性」「可用性」を挙げているからです。ただし、両方が目指す目的はまったく別のところにあります。

 ISMSは文字どおり情報セキュリティマネジメントシステムのためのものですが、IT統制は会社に対して内部統制の4つの目的(業務の有効性及び効率性、報告の信頼性など)を達成することを求めており、そのために「ITの統制を有効なものとするために経営者が設定する目標」(「財務報告に係る内部統制の評価及び監査に関する実施基準」52ページ)を設定しているのです。ですから、親和性が高いですが目指す目的はまったく別のところにあることを念頭に置いてください。そして、私たちの内部監査もISMSの内部監査も、もちろん内部統制も、確認する資料(証憑)は部分的に共通していますが、最終の監査結果の内容が異なることをご理解ください。



情報システムを監査するポイントを考える

 ここで、改めて内部監査の目線で情報システムを監査するポイントを考えてみます。これは内部監査基準(一般社団法人日本内部監査協会)にあるとおり「内部監査はガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する」ことです。内部監査基準・一般社団法人日本内部監査協会「1.内部監査の必要」/1ページ

第2節 専門職としての正当な注意 3.2.1 内部監査人は、内部監査の実施にあたって、内部監査人としての正当な注意を払わなければならない。 3.2.2 内部監査人としての正当な注意とは、内部監査の実施過程で専門職として当然払うべき注意であり、以下の事項について特に留意しなければならない。 ① 監査証拠の入手と評価に際し必要とされる監査手続の適用 ② ガバナンス・プロセスの有効性 ③ リスク・マネジメントおよびコントロールの妥当性および有効性 ④ 違法、不正、著しい不当および重大な誤謬のおそれ ⑤ 情報システムの妥当性、有効性および安全性 ⑥ 組織体集団の管理体制 ⑦ 監査能力の限界についての認識とその補完対策 ⑧ 監査意見の形成および内部監査報告書の作成にあたっての適切な処理 ⑨ 費用対効果

(出典:内部監査基準4ページ)


 私たち内部監査が監査を実施するにあたって注意すべき監査ポイントに「⑤情報システムの妥当性、有効性および安全性」を挙げていますが、これを踏まえると以下のような監査項目が考えられます。

  • その情報システムは、導入する際に定義した要件に合致したものとなっているか?

  • その情報システムは、会社の目標達成に貢献しているのか?

  • その情報システムの運用状況は、整備したマニュアルのとおりとなっているか?

  • 整備したマニュアルは、陳腐化していないか?

  • 会社の情報システムに関する予算計画は、事業計画/中期計画の内容を相応なものとなっているか?(運用コスト、会社規模等)  など


 このようにみると「内部統制(J-SOX)でも同じものをみているのでは?」という感じがしますが、内部統制では評価範囲の選定を行い、あくまでその範囲に入っている情報システム(例:会計システムなど)を対象としているのに対し、内部監査は社内の業務で利用されている情報システム全般を対象とします。そのようにすることで、例えば事業計画上で導入すると決めていたシステムが実際には導入されていなかったり、違うシステムが導入されていた場合、会社のガバナンス又はコンプライアンスの観点でみたら芳しいものではありません。改善が必要です。しかも違うシステムが導入されていたケースでその費用の差額がある場合は、もし超過していたときは差額の出所は?稟議・決裁は?など。もし過少の場合はその差額の行方は?など、監査すべき項目はたくさんあります。ですから前回の記事でご紹介しましたが改めて、情報システムを内部監査するときは視野を広く・観点を多く持ったうえで実施することをお勧めします。


 情報システムの内部監査については、もう一つ大切な資料があります。次回はその資料を参照しながら情報システムへの内部監査に向き合ってみたいと思います。






当社が提供するサービスとして


当社が提供する「内部統制・内部監査体制構築」サービスでは、


  1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

  2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

  3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)


 この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。



Comments

Commenting on this post isn't available anymore. Contact the site owner for more info.
  • Instagram
  • Facebook

©2022 by レイズバリュー合同会社。Wix.com で作成されました。

bottom of page