今回はIT監査(システム監査)の領域で、監査法人出身者が第2のキャリアとして選びやすい内部監査とアドバイザリーをご紹介いたします。
前回は、『監査法人編』をご紹介したので、今回は内部監査とアドバイザリーです。
この記事は、以下のような方に向けてIT統制監査の実務を紹介したいと思います。
- システムエンジニアとしてのキャリアを続けることに疑問を感じている人
- 監査法人でのIT監査経験をコンサルティングに活かしたい人
- IT監査職に興味がある人
- 公認情報システム監査人(CISA)やシステム監査技術者という資格を使って監査の仕事をしてみたい人
- 上場企業の内部監査で、IT統制の監査を受けているが、いまいちよく分からないという人
実は、
「会社所属で内部監査部門で仕事をする場合」と、
「アドバイザリーで内部監査の評価支援をする場合」
の仕事内容は非常に似ているので、今回一緒にご紹介します。
この記事を書く私の経歴は以下の通りで、情シス出身の現役のIT監査人です。
- 新卒で入った上場企業の情報システム部門で社内SEとして保守・運用に従事
- 監査法人(大手・中小)にて会計監査の一環としてのIT統制監査の外部監査に従事
- 会計系コンサルティングファームにてIT統制、ITリスクガバナンスの内部監査・経営者評価の支援アドバイザリーに従事
- 公認情報システム監査人(CISA)と公認会計士を保持
ちなみに、IT監査の未経験者は、最初のキャリアとしては監査法人をオススメしているので、そのあたりは下記の記事をご参照ください。
では、まずは、内部監査や経営者評価と呼ばれる業務について概略から紹介します。
■ 内部監査とは
主に企業の監査には3種類あり、「三様監査」という言葉があります。
今回は一番下の「内部監査」がメインのお話になります。
種類 | 目的 | 実施者 | 対象 |
---|---|---|---|
監査役監査 | 取締役の職務執行の監督 | 企業の監査役 | 取締役の業務内容や取締役会の決定事項など |
会計監査人監査(外部監査) | 財務諸表の適正性の確認、投資家保護 | 公認会計士または監査法人 | 企業の会計情報、財務諸表、財務報告に係る内部統制 |
内部監査 | 企業の各部門の業務改善、リスク管理 | 企業の内部監査部門の従業員 | 企業の業務プロセス、内部統制システムなど |
□ 内部監査部門の設置と運用
企業(特に上場企業)の経営者には以下のような責任があります。これらの目的のために、経営者が内部統制を評価して報告すること(経営者評価)が法的に義務付けれています(金融商品取引法)。
- 内部統制の整備及び運用
- 内部統制の有効性の評価
- 評価結果『内部統制報告書』の外部への報告
内部統制の評価の対象には以下のものがあります。
- 全社的な内部統制の評価
- 業務プロセスに係る内部統制の評価
なお、IT監査の具体的な内容については以下をご参照ください。
□ 経営者評価と内部監査との関係
内部監査部門は、経営者による内部統制の評価において重要な役割を果たします。
経営者は、自らの業務を評価することにならない範囲において、内部監査部門を活用することができます。
【 留意点】
経営者は内部監査部門の評価結果を活用できますが、最終的な評価責任は経営者にあります。
内部監査を利用する場合でも、経営者の責任において、内部統制報告書を公表することになります。
□ 内部監査部門の独立性
内部監査部門は、経営者の指示に基づいて内部統制の評価を行う一方で、独立した立場から内部統制の整備及び運用状況を検討・評価する役割も担っています。
■ 内部監査部門によるIT監査(システム監査)の手続き
ここでは内部監査の一連の流れを解説します。
□ 監査計画の立案
- リスクアセスメント
- 年間の監査計画・スケジュールを策定
- リスク評価に基づき、重点監査項目を設定
- 監査範囲の特定
- 監査チームの編成
- 詳細手続きの決定
【全社的な内部統制】
- 統制環境の評価
- リスク評価プロセスの確認
- 情報伝達の仕組みの評価
- モニタリング活動の確認
【業務プロセスに係る内部統制】(製造業の例)
※情報処理統制を含む
- 販売プロセス
- 購買プロセス
- 在庫管理プロセス
- 決算・財務報告プロセス
【IT全般統制】
- システム開発・変更管理
- アクセス管理
- 運用管理
- 外部委託管理
□ 監査の実施
【整備状況評価】
- 内部統制の設計の評価
- 文書化状況の確認
- 職務分掌の確認
- 統制活動の適切性評価
【運用状況評価】
- サンプルテストの実施
- 統制の実施状況確認
- 例外事項の分析
- 統制の有効性評価
詳細は以下の記事でも紹介しております。
□ 不備の識別と評価
- 発見された不備の重要性を評価
- 改善提案および是正措置の作成
□ 監査結果の報告
- 監査報告書の作成
- 経営者への報告と改善提案の提示
□ フォローアップ
- 改善状況の確認
- 必要に応じて追加監査の実施
■ アドバイザリーにおける内部監査(経営者評価)の支援とは
上述の内部監査の評価を、コンサルティングとして外部から支援あるいは代行するのが、アドバイザリー業務です。
会社員として内部監査部門で監査をする場合と、評価の方法や業務の流れはほとんど同じとなります。
そこで、ここでは、外部からコンサルとして関与する場合の、業務内容の違いを挙げておきます。
・コンサル会社としての営業活動(PD)が生じる
・一人で何社か担当する
・会社側をプロマネする
具体的に解説します。
□ コンサル会社としての営業活動(PD)が生じる
財務報告に係る内部統制の監査に対するアドバイザリー業務は、通常、単年度のみの契約とはなりにくく、毎期更新されやすい契約となります。
ただ、会社によってサービス形態、契約形態は異なり、課題出しだけをする単年度契約も存在します。
つまり、毎期契約が更新されやすい外部監査よりも、契約が流動的になりやすいという特徴があります。
この点、アドバイザリー部門としては、外部監査よりも営業力が求められます。
とはいえ、様々なアドバイザリー業務を提供しているコンサルが普通ですので、いくつかの営業ルートが存在します。
・現行クライアントからのつて
・コネクションのある銀行からの紹介
・グループ内の監査法人や税理士法人からのつて
□ 一人で何社か担当する
コンサルにおいては、大型がの1案件のみに関与する場合もありますが、内部統制の評価支援サービスの場合は、通常、似たような案件を何社も担当して、回していくことが多いです。
この点は、会社の内部監査部門に従業員として所属して仕事をする場合と大きく異なる点です。
□ 会社側をプロマネする
アドバイザリー業務では、クライアントへのサービス提供にあたり、スケジュール管理や課題管理、報酬管理などのプロジェクト全体を管理し、クライアントをリードすることが求められます。
会社内部でも、似たような業務は発生しますが、外部からクライアントをリードする点で、コミュニケーション能力が求められ、また、気を遣う場面も多いでしょう。
■ まとめ
このように、内部監査の立場で実施するIT統制監査は、アドバイザリー業務として行う場合と似ており、
また、外部監査で行う監査とも被る部分も多く、経験者にとっては非常に転向しやすい領域です。
また、エンジニアからの転向も可能な領域となっています。
ただし、何度も紹介している通り、体系的な監査業務の習得は、いきなりアドバイザリー(コンサル会社)から入るよりも、監査法人での経験の方がオススメです。
監査法人の業務や転職に興味ある方は、以下をご参照ください。