今回はIT監査の世界では、おそらく最も需要のある、監査法人におけるIT監査をご紹介いたします。
この記事は、以下のような方に向けてIT統制監査の実務を紹介したいと思います。
- システムエンジニアだがIT監査職に転職したいと思っている方
- 公認情報システム監査人(CISA)やシステム監査技術者という資格を使って監査の仕事をしたい方
- 上場企業の内部監査で、IT統制の監査を受けているがいまいち、何をするのか、何を求められているのか分からないという方
この記事を書く私の経歴は以下の通りで、情シス出身の現役のIT監査人です。
- 新卒で入った上場企業の情報システム部門で社内SEとして保守・運用に従事
- 監査法人(大手・中小)にて会計監査の一環としてのIT統制監査の外部監査に従事
- 会計系コンサルティングファームにてIT統制、ITリスクガバナンスの内部監査・経営者評価の支援アドバイザリーに従事
- 公認情報システム監査人(CISA)と公認会計士を保持
ちなみに、IT監査の未経験者は、最初のキャリアとしては監査法人をオススメしているので、そのあたりは下記の記事をご参照ください。
■ IT監査人の需要の背景
企業のIT依存度は年々高まっています。それに伴い、システムの管理方法を評価するIT監査の重要性が増しています。
特に上場企業では、社内の内部統制の状況を評価して報告することが法律で定められており、その中にはITに関する内部統制も多く含まれています。
そこで、ITやシステムのバックグランドを持つ人たちが、IT監査の領域で非常に求められています。
IT監査では「システムを評価する力」と「ビジネスを理解する力」の両方が求められ、エンジニアの次のキャリアとしても非常に魅力的です。
私もその一人として、社内SEからIT監査人に転向し、現役で活動しています。
また、公認情報システム監査人(CISA)やシステム監査技術者といった資格を取得したものの、実務経験がないために一歩を踏み出せない方も多いのではないでしょうか。
そこで、本記事では、特に監査法人において通常行われる「財務諸表監査におけるIT監査」について、実務を詳しく解説します。
■ IT監査の全体像
□ IT統制とは
まず、このIT監査(システム監査)というものが、そもそも何なのか、どういう仕事なのか簡単に説明したいと思います。
ご存知の通り、企業の情報(会計や財務のデータ、営業データ、個人情報など)は、「システム」によって管理されたり、計算が自動処理されたり、しています。
このシステムの管理や自動処理を適切に間違えないようにする内部管理体制を「内部統制」と呼びます。
主に上場企業では、内部統制の構築が義務付けられ、内部統制の適切性を世間に公表する義務があります。
そこで、システムが管理され、自動処理される「内部統制」が適切かどうかを、確かめ、その適切性を評価する業務が、「IT監査」です。
監査法人のIT監査では、会計や財務のデータに関連するIT・システムに対して監査(財務諸表監査)を行うことが多数を占めています。
□ ITGCとITAC
財務諸表監査におけるIT統制には2種類あります。
①IT全般統制(通称 ITGC: IT General Control)
②自動化された情報処理統制(通称 ITAC:IT Application Control)
今回は①IT全般統制(ITGC)を中心にご紹介します。
(②の情報処理統制(ITAC)はかなり細かく、検証対象によって手続きが全く異なり、少し多くなってしまうので、またどこかで解説します。)
ITに関する内部統制の全体像は以下の通りです。
| 種類 | 定義 | 評価項目 |
|---|---|---|
| IT全社統制 | 企業全体として、ITに関する方針、手続が 整備され、ITの管理体制が整備されるなどの統制。 | – 全社的なITの管理に係る体制の評価およびIT戦略・計画の策定を適切に行っているかどうか |
| – 全社的に規定やマニュアル類の整備がされているかどうか | ||
| – ITの利用による、ITに起因したリスクを考慮した内部統制を構築しているかどうか | ||
| IT全般統制 (ITGC) | 下記のIT情報処理統制が有効に機能する環境を保証するための統制。 | – システム開発・保守における管理の適切性 |
| – システムの運用管理における適切性 | ||
| – アクセスセキュリテイの適切性 | ||
| – ITに係る外部委託先に対する管理体制の適切性 | ||
| IT情報処理統制 | 各業務プロセスにおいて、ITを利用した業務が正確に処理、記録されることを確保するために、 業務プロセスに組み込まれたITによる自動処理の内部統制。 | – 入力情報の正確性・完全性・正当性の確保 |
| – 自動計算およびエラー処理・修正処理の適切性 | ||
| – 自動照合の適切性 | ||
| – マスターの正確性・網羅性 | ||
| – システム間インターフェースの正確性・網羅性の検討 | ||
| – アプリケーションに対するアクセス管理と権限設定の適切性 |
なお、ITACを含め、IT監査の全体像については、こちらに概要を解説していますので、こちらもご参照ください。
IT全般統制とはどんな内部統制か、概要をここに示しておきます。
| 種類 | 評価項目 | 詳細項目 |
|---|---|---|
| IT全般統制 (ITGC) | システム開発 変更管理 | – 開発・変更管理規程の確認 – 開発・変更の起案承認の評価 – テスト計画・実施の評価 – 本番環境への移行プロセスの評価 |
| アクセスセキュリティ | – IDの付与・変更・削除手続きの評価 – パスワードポリシーの評価 – アクセス権限の定期的な確認 – 特権IDの管理状況の評価 | |
| 運用管理 | – バックアップ状況および管理方法の評価 – 障害管理体制の評価 – ジョブスケジュール管理の評価 | |
| 外部委託先管理 | – システム保守・運用やクラウド管理の委託先に対するモニタリング状況の評価 |
■ IT監査に必要な知識
IT統制監査に当たっては、以下のような知識が前提として求められます。
もちろん、最初から理解していれば強いですが、そもそも会社によってITシステムの環境が全く異なりますので、監査実務の中で徐々に知っていくべきものです。
□ IT全般統制(ITGC)に必要な知識
IT全般統制の検証にあたっては、例えば以下のような知識が必要になります。
・広いシステムを構成する製品ごとの技術的な理解
(技術/製品/ツール:Windows、Linux、AWS、Azure、Oracle、SQL Server、ブロックチェーン、JP1、Github、backlog、Splunkなどの支援ツール等)
・開発、保守、運用における業務プロセス
・ITリスクおよびITに関する内部統制
・監査手続きおよび評価方法
□ 情報処理統制(ITAC)に必要な知識
一応、情報処理統制の検証にあたって必要な知識も載せておきます。
・上記ITGCに関する知識
・業種それぞれのビジネスの理解
・業種ごとの業務プロセスの理解
・業務プロセスに関する内部統制とリスクのポイントとなる業務の理解
■ IT統制監査の実務
□ 監査法人の組織
通常、監査法人の中でIT統制を担当する組織のことを「ITに係る内部専門家」「IT専門家」という呼ばれ方をします。
財務諸表の監査は、公認会計士等を中心とする監査チームが中心になって行われます。
しかし、企業の財務報告は、通常、システムの利用に依存をしているため、IT・システムの内部統制の適切性については、IT・システムを専門とする監査法人内のIT専門家に委託されます。
□ IT監査の流れ
今回はIT全般統制に絞って、監査の流れをご紹介します。
このような流れで、年度末までの1年間でスケジュールが組まれる。
| ♯ | フェーズ | 手続きの流れ |
|---|---|---|
| 1 | 監査計画の立案とスコープの検討 | – 前年度(or 前任監査人)の監査結果のレビュー – 評価対象となる重要なシステムの特定 – ITに関する重要性の判断 |
| 2 | IT環境の理解 | – ITに関する組織体制の把握 – IT関連の規程類の確認 – ITガバナンス体制の評価 |
| 3 | 監査手続きの実施 (整備状況評価と運用状況評価) | – IT全般統制の手続き – 情報処理統制の手続き |
| 4 | 発見事項の評価 | – 内部統制の不備の洗い出し – 重要性および影響度の評価 – 不備の改善提案 |
| 5 | 報告書作成 | – 監査調書の作成 – 経営者への報告事項の取りまとめ |
□ 監査手続きの方法
内部統制の監査では、「整備状況評価」と「運用状況評価」という二つの評価の仕方で行います。
整備状況評価と運用状況評価は、内部統制の有効性を確認する上で相互に補完し合う重要な評価プロセスとなります。
また内部統制を監査する際のルールが、公表されている監査基準によって決められており、監査人はこれに基づき、監査を行います。
- 整備状況評価を先に実施
- 整備状況に重要な不備がある場合は、運用状況評価を実施する前に改善を求める
- 整備状況が適切な場合に運用状況評価を実施
整備状況評価と運用状況評価は以下のように、行います。
| 手続き | フェーズ | 評価のポイント |
|---|---|---|
| 整備状況評価 | デザインの評価 | – 関連規程・マニュアルの確認 – 想定されるリスクと対応する統制との整合性確認 – 業務フローの把握 – 統制の責任者が明確に定められているか |
| 業務への適用の評価 | – 責任と権限を誰が持っているのかの確認 – 統制の証跡が適切に残されているか – 必要な承認手続きがあるか – 職務分掌がされており業務が自己完結しないか – 例外処理への対応やフォローアップの手順の確認 | |
| 運用状況評価 | サンプルテスト | – 母集団からのサンプリング – サンプル数の決定 – サンプルに係る証跡の検証 |
| 運用状況の検証 | – 承認の実施状況確認 – 例外処理の対応状況確認 | |
| 有効性の評価 | 不備の識別 と対応 | – 上記の検証から不備がないか確認 – 不備の重要性と影響度の評価 – 不備に対する是正措置が十分かつ適切かの評価 – 補完統制や代替統制の確認 |
■ 監査プロジェクトの特徴
通常、監査法人における監査プロジェクトは以下のような特徴を持ちます。
一般企業とは少し異なる側面があるかと思います。
- 通常、複数社の担当をする
- クライアント事のチームが組成され、そこに横断的に参加するジョブ型
- チームは通常、責任者・リーダー・担当の体制で組成される。
- リーダー(主査・主任・インチャージと呼ばれる)が基本的には、計画や対会社の主要なコミュニケーションやプロマネを担当する。
■ まとめ
かなり具体的に監査実務を紹介してきました。
実際に、もっと詳しく知りたい場合には、知り合いの監査人勤務の人に当たってみたり、転職エージェント経由で監査法人の説明会や面談に行ってみるとよいでしょう。
監査法人という組織の様子については以下に詳しく記載していますので、ぜひご参照ください。本記事と合わせ読むと、イメージがわくと思います。
また、監査法人ではなく、一般企業の内部監査部門や、アドバイザリーでのIT監査については、以下で紹介しています。
以上、参考になればい幸いです。
