監査基準委員会報告書315の改定(ITパートについて)とQ&Aの改定について

IT専門家として、IT監査に携わっていることから、本件の改定は、やっと現場サイドの作業と整合するものになったと強く感じました。改定に携わった方を存じ上げておりますが、物凄く大変な作業だったと認識しております(感謝申し上げます)。

監査の現場からの状況を述べますと、ITに関する理解を深めることや、そこから導かれるリスクの把握、そして必要なレベルでの対応を監査業務の中で時間を割かないと、十分かつ適切な監査証拠を入手することはできないと言われる一方で、改定前の監基報315やIT6号、IT53号には反映されておらず、IT専門家の方々は少なからずギャップを感じていたのではないでしょうか?

今回の公開草案を閲覧して、これでやっと監基報やQ&Aが実態に合致するようになると感じました。

ただし、これまでITについては考えを巡らせてこなかった監査人からするとITリテラシーの要求水準が上がったなと感じてしまうのではないかなと思うほど充実しています💦。特に付録5,6については全く理解できない会計士も出てきそうな予感もしています。詳細は監基報315(公開草案)Q&A(公開草案)参照。

個人的には、Q&AのA7に、業務を行う上で【IT専門家は監査チームの専門職一員(監査以外の分野において専門知識を有する個人)】となっていますが、監査が理解できなくて、効率的かつ効果的な監査業務ができるのかは疑問です。(高度な会計はいいですが。。)

とは言え、ビジネスの中でのITの利活用は今以上に進んでいくこと、情報システムの進化がより加速化することが想像される以上、現在IT専門家と呼ばれる方も知識のアップデートはもの凄く大変になるでしょうから、IT専門家でない会計及び監査の専門家と同じレベルで監査を理解するのもかなり苦しいというのが実情かなと感じています。

  • 監基報315の改正について

さて、監基報315の改正(ITパート)内容ですが、①用語の定義の変更、②IT全般統制の識別と評価の流れ、③IT全般統制の識別と評価とされていますが、今回は①用語の定義の変更についてみていきます。

①用語の定義の変更ですが、情報処理統制という単語が新たに定義されました。ITアプリケーションを利用する場合であれ、手作業であれ情報を加工・変換したり連携させたりする際には、誤るリスクがあります。このため、その情報の信頼性を確保するための内部統制ということで、従来のIT業務処理統制が自動化された情報処理統制、手作業統制が手作業による情報処理統制と表記されており、これらをまとめた概念を表す単語のようです。

他にはIT全般統制は従来からありましたが、業務処理統制が有効に機能するように支援する統制活動(IT研46号)ということで、IT業務処理統制のみにフォーカスしていましたが、今回の定義ではIT環境の継続的かつ適切な運用を支援する企業のITプロセスに係る統制ということで、情報処理統制と情報の信頼性確保のための統制ということで、その範囲が拡大されています。

また、IT環境という単語が定義され、IT基盤からIT環境とより大きな括りでIT管理の実態を認識するようにもなっています。

さらには、ITの利用から生じるリスクという単語が定義されています。従来はITを利用するなら、こんなITリスクがあるはずだということで、金太郎飴的なIT全般統制の検証を進めていることもあるのではないでしょうか?ただし、この場合には、利用状況からは必要のない内部統制についてIT全般統制の評価を実施してしまうという事になってしまいますので、今回は、会社実態に応じた、ITの利用状況に応じたリスクを識別した上で本当にリスクのある部分の監査を実施するために、まずはITリスクの識別をすべきという事で、ITの利用から生じるリスクが登場した様に思います。

ITの利用から生じるリスクの識別方法ですが、例えば、スマートフォンを利用する際に、パスワードの設定や指紋認証、顔認証などを設定したり、バックアップを取得したりすることがありますよね?この対応は、認証設定は未承認のユーザによる利用のリスクであり、バックアップはデータ消失リスクが識別されるための対応になることを考えることができるITリテラシーがあれば、その他のITリスクも識別することは可能だと思います。結局はITの利用から生じるリスクってどういうものがあるのかの例を知ることが早い気がしています。

ちなみに、Q&A1に例示が挙げられているので、興味があれば、ご確認いただければと思います。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です