解説
1 担当者にとって気になる?点
ITの監査の趣旨や実際の手続きは、それを社内向けに説明する経理担当者にとっても分かりにくいもののようです。
そしてITの監査では、その分かりにくいことをやり取りする情報システム担当者と監査法人の間でトラブルになることもあります。
ですので、経理担当者としては、ITの監査の対応を出来るだけ少なくしたいのが本音ではないでしょうか?
2 経理担当者に理解してほしい点
ITに係る監査対応を減らすアイデアとして、まず考えられるのは、JSOXの業務プロセスでの統制上の要点(=キーコントロール)を、全て手作業の統制のタイプのものを選定してしまうことです。
業務プロセスの統制のタイプは以下の3つに分類されます。
① 自動化された統制(例 商品の価格情報は単価マスターを参照して生成する)
② ITに依存した手作業の統制(例 販売システムから出力された「売掛金一覧」を営業部長が閲覧して、異常なものがないことを確認して承認する)
③ 手作業の統制(経理担当者が起票した会計伝票を上司が承認する)
実施基準でいう「ITに係る業務処理統制」は上の①②を指しています。
業務プロセスごとに統制上の要点を選定する際には、実在性、網羅性、権利と義務の帰属、期間帰属の適正性、表示の妥当性といった財務報告リスク上留意する点を消し込んでいる組合せが選択されていることが求められています。
そして、実際の企業活動上の業務でも、手作業とITの部分が合わさってなされているので、統制上の要点を選定する際にも、手作業によるものとITによるものとがブレンドされていることが必要なのでは?と思うことは、むしろ自然ですし、その方が本来望ましいのでしょう。
しかし、上記①②③の属性を有する統制がブレンドされて選定されていることはマストではなく、全てが上記③であっても監査上は問題ありません。この点は誤解されていることが多いですが、論理的に問題なく、金融庁の監査・審査会による検査でも、JICPAの品質管理レビューでも、おかしいと指摘されたことはありません。
手作業による統制のみになると、、、IT全般統制を評価する必要がなくなります。
ここでいう「必要がなくなる」の意味は、RCMも作る必要が無く、ウォークスルー、1件テスト等と呼ばれる、整備状況のテストも(いわんや運用テスト、25件テストも)無用でOKになります。こう御説明すると、「そんなに何もかも不要にしていいの?」とビックリされる方がおられますが、IT全般統制は、ITに係る業務処理統制が期間にわたり有効であることを底支えする統制のため、ITに係る業務処理統制が無い場合には出てこなくてもいいものなのです。(注)
(注)「①②を選択した上で、運用状況テストとして、(IT全般統制に依拠しない選択をする、すなわち)いわゆる25件テストを実施する」という場合には、監査法人では、「IT全般統制の’整備状況が(までは)’有効である、という心証を得る必要があります。そのため、IT全般統制の「整備状況テスト」までは実施することがマストです。
【根拠1】 実施基準Ⅱ3(3)⑤ で、「ITの統制は、全般統制と業務処理統制に分けられるが、経営者はこの両者を評価する必要がある。」旨が規定されています。
⇒ 完全かつ正確な情報の処理を確保するには、全般統制と業務処理統制が、一体となって機能することが必要であるため、原則、両者の評価が必要となります。
【根拠2】 実施基準Ⅱ3(3)⑤ニa で、「業務処理統制の運用状況の評価の実施範囲を拡大することにより、IT全般統制の運用状況の評価を実施せずに、内部統制の運用状況の有効性に関して十分な心証が得られる場合もある。」
⇒実施を省略できるのは、IT全般統制の運用状況の評価のみです。
実際には、上場会社でITを利用していない会社は皆無と思いますので、JSOXの枠内で取り上げて評価しようとすれば、上場会社であれば、評価しうるIT全般統制はきっとあると思います。しかし、JSOXの業務プロセスでのキーコントロールの選定は、単に選択の問題に過ぎないということをご理解ください。
自動化された統制をJSOXでの運用テストに扱わないことが、「自社の情報システムが業務にとって重要ではない」ということでは決してありません。JSOXの経営者評価上および監査法人による監査上、自社の業務がITに依存している・ITを駆使していることは、業務プロセスにおける運用状況テストで扱わなくても、別のところでシッカリ扱われます。具体的には「ITの概況の理解」という視点で、ソフトウェアやハードウェアなどの情報を収集したり、「ITの利用に伴うリスク評価」という視点で、IT戦略、IT予算、事業継続性確保のためのITインフラ整備状況などの情報を収集したりする過程で、業務上ITに依存している・ITを駆使していることが現れます。
3 念のため補足する点
以上の理屈をご理解頂き、「では、当社でも、自動化された統制を、全て手作業の統制に置き換えよう!」と実行される場合に留意すべき点は、自動化された統制を、ひとつ残らず、完全にゼロに消し込むことです。「置き換えたつもりが、残っていた」となると、その残っていた自動化された統制に係るアプリケーションに対するIT全般統制につき、RCMと最低1件テストの証跡がないと、明らかに経営者評価結果が不足している、アウトとなるためです。
その際に留意すべきは、どの業務プロセスのRCMの最後に共通で記載されているであろう、「仕訳の内容が会計帳簿上正しく処理されないリスク」を低減するキーコントロールを、「会計伝票の内容は会計ソフトの自動計算で処理される」と表記してきた会社の場合です。
結論から言うと、これを、例えば、「経理担当者は、起票の都度、仕訳情報が正しく会計帳簿に反映されていることを確かめる」といった手作業統制の表現に書き換えることでOKです。
変更の前でも後でも、ゴールとしての運用テストは「転記が正しく行われていることを確かめて、担当印を伝票に押印する」という同じ手続きになりますし、この押印を確かめるテストは別のキーコントロールの運用テストで済んでいることが多いので、運用テストの負荷も従来から増えもしません。つまり結果的に従前と何も変わらない、細かい点での修正に過ぎません。しかし、全体の立て付けに係るところでりあり、このひと手間を漏らさないことが、近時のJSOXの省力化では肝要です。
【経理担当者にとって】
ITの監査対応を減らす方策の一つに、業務プロセスのキーコントロールを全て手作業統制を選定する方法が考えられる。
