解説
1 担当者にとって気になる?点
JSOXも制度として浸透したとはいえ、業務プロセスの運用状況テストの負荷は相変わらず無視できないのではないでしょうか?
その工数が減る可能性があると聞けば、経理担当者としては検討したいところです。
2 経理担当者に理解してほしい点
IT 全般統制の運用状況テストにより統制が期間にわたって有効であることを確かめることを、以下では「IT全般統制に依拠する」と言います。
結論から言うと、IT全般統制に依拠する業務プロセスをふやすと監査対応工数が減るか否かは、会社ごとにケースバイケースですし、調査をしても明らかな削減工数を計測することは難しいと考えます。
業務プロセスのキーコントロールに、ITに係る業務処理統制(別のテーマの②又は③)を選定したとします。
すると同時に、当該キーコントロールに関連するアプリケーションソフトのIT全般統制について
1)必要とされるRCMを作成する
2)RCMに対応するウォークスルーを実施する
が、即、必須で作成・実施することになります。IT全般統制に依拠するしないに関係なくです。
また、
3)当該キーコントロールの運用状況テストを、従来の、手作業による統制の場合と同様にいわゆる25件テストに代えて、IT全般統制としての運用状況テストを実施するか、
を決める必要が生じます。
上記1)と3)については後述のテーマで各々切り出して説明しますのでそちらを参照下さい。
JSOX導入当初は、以上のようなIT全般統制の業務負荷が嫌われ、IT全般統制に依拠せずに、IT業務処理統制も、手作業統制と同様な運用状況テストを実施してきたと思います。
実務上、IT全般統制に依拠するメリットとしては、運用状況テストでサンプルを依頼する部署が、これまでは各業務の部署ごとに依頼していたのが、基本的に情報システム担当者だけで済むようになることです。
細かい話になりますが、IT全般統制から不備が発見された場合には、理屈の上からは、当該不備を不備一覧表に記載し、発生可能性と影響額を試算(見積もる)することになります。
しかし、多くの監査法人は、その原因が単なる誤謬と認められる場合には、その影響額をいたずらに多くしません。むしろ緩和要因とリンクさせて、他への波及は限定的として、影響額を低めに評価するのが一般的です。
3 念のため補足する点
IT全般統制の枠組みは実施基準に規定されている、「システムの開発、保守に係る管理」「システムの運用・管理」「内外からのアクセス管理などシステムの安全性の確保」「外部委託に関する契約の管理」の4つであり、業務プロセスでの統制評価作業と同様に、この4つに対してRCMを作成し、ウォークスルーと運用状況テストをする必要があります。
しかし、、、世の中にはIT、情報システムに関するいろいろな監査の基準があり、それらから適当に抜粋したり組み合わせたりしてRCMを作成することは可能ですが、現実には、一体監査のため、IT全般統制のRCMに表現されているリスク項目は、監査法人が財務諸表監査で用いているRCMに表現されているリスク項目をカバーしている(=同じ項目か、それ以上余分な項目があっても可。要は不足があると不可)必要があります。
しかし、矛盾しますが、監査法人が用いているRCMは監査マニュアルの一部であるため、監査クライアントにそれを提供することは、監査の独立性に反するという理屈で禁止されています。特に大手監査法人では社内で徹底されています。
この理屈だと、そもそも会計士向けの監査の実務指針も世間に公表してはいけないことになってしまいますが、ご存知の通り JICPAは、監査の実務指針をきちんと公表していますから、IT全般統制だけ公表しないという対応は矛盾しています。
おそらく、知的財産であるノウハウの流出を嫌ってのことと推察しますが、困るのは、監査クライアント側です。
したがって、情報システム担当者は、監査法人のIT専門家の口頭の説明を頼りにRCM上にリスク項目を整備し、ウォークスルーや運用状況テストをしていかなければなりません。。。なんともひどい話です。
もちろん、監査法人側でも最初にクイックレビューをして、ここをこう直せばOKです」というメニューもあるのですが、これはコンサルティング業務扱い、つまり別報酬になると言われてしまいます。
【経理担当者にとって】
IT全般統制の運用状況テストを増やした方が、監査工数が減るというのは、絶対ではありません。
