システム監査とIT監査の違いとは？

この連載を書き始めた時は、すでに内部統制報告制度(いわゆるJ-SOXです)が適用されて数年経ち、今回はさらに時間を経ているわけです。ですので、今さらこのテーマという感じはあるかもしれません。しかし一方で、月日の流れは環境の変化を起こすように、内部統制評価に関わる方々が入れ替わることが多くなり、「やることは分かっているけど、IT全般統制って何？」という状況（特に声に出して聞かれることは少ないものの、明らかにそのような顔をしているように見えます）が増えてきているかなと思います。

元々このコラムはIT監査の入門者向けに作成していますので、すでに経験もあり、十分に理解されている方々にとっては参考にならないかもしれません。ただ「監査法人っていつも何をやっているの？」「監査ってどう考えてやっているの？」という、いつも根底にある疑問部分に比重を置いて、「IT全般統制」なるものを解説していきたいと思います。

これまでのお話をまとめると

「久しぶりですね～」と早速、往査先のシステム部長さんからお言葉を頂いてしまいました。

すみません。長期出張だったものですから。 あれ？　システムが替わっていますか？

「そう。長年使っていたホストも前回の保守期間満了のタイミングで、新しい基幹システムに入れ替えたんですよ。稼働して3か月。ようやく落ち着いてきたところですね。」

そうですか。それはちょっと後で会計チームと打ち合わせをしなければいけませんね。

「え？どうして？」

どうして？ と言ってもらっては困ります。システムが変更されたということは、IT監査の仕方も変わりますし、御社の業務処理だって変っている可能性があります。その影響を確認しないと会計監査を進める上で大きな手戻りが発生する可能性があるからです。

「ああ、そうでした。IT監査は会計監査と関わっているのですよね。でも、その解説って途中だったような。。」

すみません。途中でした。。なので、今回はこれまでのお話を含めてもう一度おさらいしてみましょうか。

システム監査とIT監査の違い

第1話では、「システム監査」と「会計監査としてのIT監査」（※以下ここではIT監査と記載します。）の違いについて説明しました。
まず、システム監査の定義というのは、「情報システムに関するリスクに対するコントロールが適切に整備・運用されていることを、監査対象から独立した専門的な立場のシステム監査人が検証又は評価することで保証を与えあるいは助言を行うこと」でした。ちなみに、この「システム監査基準」というのは、「基準」とは書かれていますが法的に強制されて実施するものではなく、意味合い的にはガイドラインという位置付けと考える方が良いと思います。

そして、この定義から見出せるポイントは3つ、①監査対象から独立している監査人が実施、②情報システムに関するリスクに対するコントロールの評価、③保証あるいは助言を行うこと、になります。一見すると、IT監査もこれと違わないのではないかと思われるのですが、①②③それぞれシステム監査とIT監査では、その自由度が異なるのです。

システム監査とIT監査の主な違いは以下のとおりです。

（とはいえ、やはりシステム監査もIT監査も情報システムに関するリスクとそれに対するコントロールを評価するという部分は同じで、そもそも情報システム部などのいわゆるIT部門で普段行われている業務は、監査によってやり方を変えるわけではありませんので、結果的にシステム監査とIT監査で同じような手続きを実施することは当然考えられるわけです。）

すると、監査の目的である財務報告の適正性というのとIT監査とはどう結び付くの？ということになるのですが、これを第2話～第3話で途中まで説明しています。

財務諸表の適正性とIT監査はどうやって結びつくの？

IT監査は会計監査の中で実施するものなので、その目的は財務諸表が適正なのか否かに関して意見を述べることであって、その目的のためにIT監査も実施します。しかし、そもそも財務諸表の適正性ってどうやって確認するのかという話がまずあり、いきなり適正性⇒IT監査という話にはなりません。まずは「適正性」から解きほぐしていかないと。

財務諸表が適正かという結論を最終的に得るためには、財務諸表全般を漫然と見ていても始まりません。ではどうするかというと、財務諸表を構成している各科目（例えば、現金、商品、売上高など）に細分化して、それに合わせて適正性の目標を監査要点という細分化された目標に落として確認しているのです。ここで、監査要点というのは、細分化した監査項目についての確認ポイントであって、具体的には以下のようなものがあります。

• 実在性（本当にあるのかという観点）
• 網羅性（すべて記録されているかという観点）
• 権利と義務の帰属（会社のものかという観点）
• 評価の妥当性（適切な価額かという観点）
• 期間帰属の適切性（正しい期間に計上されているかという観点）
• 表示の妥当性（きちんと開示されているかという観点）

監査では、各科目と上記の監査要点をそれぞれ組み合わせて、例えば、「売掛金の実在性」「売上高の期間帰属の適正性」などの個別確認ポイントを設定し、この確認ポイントに向かって関連資料を検証してゆくわけです。

しかし、表示されている各科目の金額というのは、相当程度の期中取引を経て増減した残高なので、そもそも期中に適切な取引として記録されていなければ、全部の取引を検証しなければならなくなってしまいますが、それを始めたら1年たっても終わらなくなってしまいます。

そこでどのようにするかというと、監査では、会社にある内部統制を利用するのです。もともと会社にはさまざまな内部統制が構築されているものですが、その中には監査で設定している監査要点に適合するものも含まれているだろうと考えるのです。そして、そのような内部統制がしっかり運用されていれば、期中取引の一部(サンプル)を調べることで取引全体の品質を推定できる、つまり、現在(期末)時点の残高が正しいという推測ができるだろうと考えるのです。

ここで「内部統制」という言葉が出てきました。内部統制というのは簡単に言ってしまうと、会社が業務を実施する中で行うさまざまなチェックの仕組みのことを指します。例えば、「出荷伝票に基づいて売上を計上する」や「消費期限切れの商品は販売しない」などがあります。監査では、これらの内部統制の中から、財務諸表の適正性を分解した監査要点に適合するものをピックアップして、その整備運用がきちんと実施されているかを検証することで、金額の確からしさを確認しているのです。

ざっとここまでが前回までのお話でしょうか。次回からは、この内部統制からどのようにIT統制に至るのかの流れを解説していきたいと思います。

「おさらいって言っても長かったねぇ。まぁ次回からがほんとの続きですね。」
そうです。でも、部長さんがいらっしゃるうちに変更したシステムの概要について聞かないと。ああっ時間がない。。

※ コラムに記載された内容は執筆者個人の説明であり、所属する法人、関連する団体の公式見解ではありません。