top of page
検索

内部監査に向き合う Part.21 -情報システム⑥-

  • 執筆者の写真: 長嶋 邦英
    長嶋 邦英
  • 17 時間前
  • 読了時間: 5分

 内部監査は会社・従業員にとってとても大切な働き・役割です。その働き・役割を遂行するためには、知識と経験と心構えが大切だと思います。それらをいったん振り返って整理し、さらに実践に役立つ戦略・戦術として活かすことを皆さんと一緒に考えてみたいと思います。

 今回は情報システム⑥です。







情報システムを監査するポイントを考える⑦

 前回の記事「内部監査に向き合う Part.20 -情報システム⑤-」では、内部監査は特定非営利活動法人 日本システム監査人協会(SAAJ)が策定したシステム管理ガイドラインが示す①ITガバナンス②ITマネジメントが監査範囲となることをご紹介しました。内部監査とJ-SOXとの違いが不明確なままですと、監査テーマや監査項目が重複する/同じ監査を繰り返すことがあり、効率的ではありませんが、逆に重複するからといって内部監査の方で監査テーマや監査項目から省くことはお勧めできません。以前の記事でご紹介しました「クロス監査」のような方法を用いて、同じ監査対象に対してJ-SOXとは異なる監査テーマや監査項目の観点・切り口にして監査することで業務の適正性・有効性・効率性、リスク低減、不正防止等を確認することをお勧めします。

 今回の記事では、少々細かいポイントになりますが、上でご紹介しました「同じ監査対象に対してJ-SOXとは異なる監査テーマや監査項目の観点・切り口にして監査する」の具体例をご紹介しながら、皆さんと一緒に考えてみたいと思います。


 今回具体例として挙げるのは、①監査対象となるITシステム、②監査で見た方が良い業務・作業です。

 ①は皆さんご存知のとおり、J-SOXでは期初に「評価範囲の選定」を行うことでIT統制(ITGC、ITAC)において評価対象となるITシステムを決定します。これに対して内部監査では選定する基準に捉われずに監査対象となるITシステムを選ぶことができます。各部門の業務・作業で利用するITシステム(アプリケーション、SaaSサービスを含みます)はたくさんあります。例えば、皆さんの会社でも請求書管理のSaaSサービス等を利用されているのではないでしょうか。J-SOXの評価範囲の選定では、財務報告に影響しないものと判断されれば評価範囲外となりますが、もし顧客様への請求書発行業務・作業で何らかの問題(金額間違いや顧客様間違いによる誤請求など)やリスク(請求金額の手作業・手入力など)があるのであれば、内部監査でこれらを確認する必要があるかもしれません。このように、J-SOXでは評価範囲外とされたITシステムを内部監査の監査対象とすることをお勧めします。また、J-SOXで評価範囲の対象とされたITシステムでも、例えばそのITシステムの管理体制や管理状況の適正性・有効性・効率性、リスク低減、不正防止等についてJ-SOXでは深掘りして評価することが難しいかもしれません。皆さんの会社の状況や会社が把握しているリスクに応じて、J-SOXでは確認できなかった点を内部監査で深掘りする方法もお勧めします。



情報システムを監査するポイントを考える⑧

 次に②監査で見た方が良い業務・作業ですが、皆さんの会社ではExcelやスプレッドシート等を利用してデータベース、データ集計等の業務・作業(以下総じて「データベース等」といいます)を行なっているものがあると思います。このExcelやスプレッドシート等はIT統制では評価範囲の対象となりませんが、もしそれらを利用して作成されているデータベース等が会社の財務報告に大きな影響を及ぼすと考えられるとき、これを監査対象にしない訳にはいかないかもしれません。それに、そのデータベースをITシステムに取り込む(upload)するのであれば、なおさら監査対象にすることをお勧めします。ITシステム間でデータのやり取りを行なっている場合も同様です。ITシステム間で直接データ連携しているのであればよいのですが、直接ではなく一旦csv等出力してから別のITシステムに取り込んでいる場合はその間に業務上必要としてデータ修正していることが考えられます。これは同時に悪意をもってデータを書き換えることも可能であると考えられます。この場合J-SOXでは「システム統制」ではなく「マニュアル統制」とみなしますが、そのデータの正確性等についてJ-SOXの整備/運用評価の時点で深掘りして評価する(データの利用者の範囲、データ修正の際の手続等について詳しく監査する)ことは難しいです。これらについては内部監査で時間と手間をかけて監査することをお勧めします。データ修正・書き換えの手続(業務フロー)に変更が無ければ毎年監査する必要は無いかもしれませんが、データの利用者の範囲、データ修正・書き換えの手続が変更されているのであれば、毎年監査することも考えられます。業務の適正性・有効性・効率性、リスク低減、不正防止等を確認することが内部監査の目的ですので、この目的達成のためにもお勧めします。


 情報システムは会社にとっての生命線です。無くてはならないものですし、疎かにできないものです。J-SOXとは異なる監査テーマや監査項目の観点・切り口にして、内部監査で監査することはとても大切です。この監査については、皆さんの会社の規模・業種、また情報システムの利活用環境・方法等によっていろいろな監査テーマや監査項目の観点・切り口が考えられます。それに、情報システムは日々技術革新していますので、これに合わせて監査のやり方も進化させていくことをお勧めします。






当社が提供するサービスとして


当社が提供する「内部統制・内部監査体制構築」サービスでは、


  1. IPO準備中企業の内部統制体制の構築とその業務内容の確立をサポート支援いたします。

  2. 上場企業の内部統制体制の再構築、業務内容の改善をサポート支援いたします。

  3. IPO準備中・上場企業の内部統制にかかる業務の業務委託受託先(外部)として業務遂行いたします。(*内部統制責任者として、社内に1名選任をお願いします。)


 この機会に、ぜひ内部統制のあり方、必要性をご理解いただき、内部統制の体制構築/再構築をご検討ください。



Комментарии

  • Instagram
  • Facebook

©2022 by レイズバリュー合同会社。Wix.com で作成されました。

bottom of page