解説
1 担当者にとって気になる?点
ITの「監査」というと、「アプリケーションのプログラムの中身まで分析する」とか、「セキュリティの設定を全件分析する」とか言うような、どこか「完全な手続き」をイメージしてしまい、勢い、「完全な説明をしなければならない」と心配になるかもしれません。
しかし、少なくとも日本の会計監査の枠内でのITの「監査」では、会社側の自己申告を単純に受け入れる局面がかなりあります。それを知っておくと、監査の対応をする情報システム担当者は安心すると思いますので、経理担当者はそれを伝えてあげてください。
2 経理担当者に理解してほしい点
実は、以下の点は、多くのIT専門家は「丸のみ」です。
1 ヒアリングで「その」機能を司っているのは「その」システムなのか?
IT専門家が監査チーム側での業務プロセスのウォークスルーに同席したとしても、画面上や帳票上で識別できるのはユーザーインタフェース部分を司るアプリでしかなく、肝心の処理は別アプリで行なっているのかもしれない。
2 ログが書き換えられていないか?
ログファイルはしょせんはテキストファイルであるため、アドミ権限で書き換えようと思えばそれは可能です。
どんな場合でもログサーバーをたてて、アドミ権限でもさわれないようにするか、というとそれも非現実的。
3 ユーザーリスト上のユーザーIDとユーザー名と、実際のユーザー名に乖離はないか?
たとえば次のようにユーザーリスト上で示されているとします:
AさんのユーザーIDがA001
BさんのユーザーIDがB001
ここで、AさんがA001だけでなくB001も実は使える(パスワードを知っている)かどうかは、生体認証でもするようにならないと明らかではありません。
ここで、A001のアクセス権とB001のアクセス権を合わせ持つと、職務分掌上は同時に持つべきではないとされる権限を合わせ持つことになるかもしれません。
たとえばAさんは開発プログラマでA001は開発環境専用、そしてB001は本番環境用かもしれませんし、あるいはAさんは経理部で売上入金消し込み担当、そしてB001は出荷入力による売上計上機能を有するかもしれません。
4 ユーザーIDは個人別か共有か?
共有のユーザーIDについて、「利用者がこの人とこの人に限定されている」かどうかは、わかりません。
ネットワーク的に端末情報をとったところで、IPアドレス等でわかるのは「どの端末でログオンしているか」であって「それを使っているのは誰か」は生体認証でもしなければわかりません。
PKIカード等であっても、それを貸し借りしていないかどうかまでは、システム的にはわかりません。監視カメラでモニターでもしない限りはわかりません。
5 サンプル母集団そのものの網羅性は?
プログラムの本番ライブラリが「どこに、いくつ」あるのかは、本番ライブラリを「これ」と決めたら、その変更についての網羅性を確保するのは難しいです。
自発的に、ライブラリ配置に関しての情報をとっている場合があっても、これも「自己申告」以上のものとはなり得ません。
3 念のため補足する点
財務諸表監査でのITの監査は、民間の調査会社が実施するような、いわゆる情報セキュリティの監査のようなレベルではありません。正直、「しょぼい」と言えるかもしれません。
このレベル感をご理解頂ければ、ITの監査への対応としては、経理にお邪魔する通常の会計監査と同様に、(情報システム)担当者が入手できるもの、日頃作成しているものを必要に応じて提供頂ければ足りると安心できるのではないいかと思います。
なお、自己申告に対しては、IT専門家側でも、その自己申告を「いったんは信じる」だけであって、その先のさまざまな手続で「間接的に、その自己申告は正しかった、という心証を得ている」はずではあります。
【経理担当者にとって】
ITの監査の対応としては、情報システム担当者が入手できるもの、日頃作成しているものを、必要に応じて提供頂ければ足ります。
