2016.9.01

内部監査部門の泣き所!IT統制を克服するためのポイント

laptop-651745_1920_2

 

今回はIT統制について考えてみたいと思います。
情報システム部門の業務を経験した事が無い方にとっては、IT統制の評価はハードルが高いと感じている方も多いと思います。しかし実際のところ、他の統制と基本的な考え方に変わりはありません。
では、IT統制の知識や評価手法は具体的にどのようなものが必要なのか見ていきましょう。

 


目次

目次1    IT統制とは?
目次2    IT統制の悩みどころ
目次3    苦手意識を克服するには?
目次4    IT統制の悩みを解決する3つの方法
目次5    押さえておくべきIT統制のポイント


 

IT統制とは?

財務諸表を作成するにあたり、システムを利用することが当たり前になっているかと思います。財務報告に係る内部統制の信頼性を担保するためには、IT統制の構築・評価が必要です。
IT統制はIT全社統制、IT全般統制、IT業務処理統制の3つの種類に大きく分けられます。では、それぞれどのようなものか見ていきましょう。
まず、IT全社統制は、企業全体としてのITに関する方針やルールが該当します。例えば、情報システムに関わる方針や手続、そして体制等になります。
続いて、IT全般統制は、システムの信頼性を担保するものになります。システムの開発や変更、運用、アクセス管理、外部委託等といった業務が対象となります。
そして、IT業務処理統制では、財務報告に関する正確な処理や記録を行うものになります。自動仕訳や自動集計、自動連携処理等が該当します。

 

IT統制の悩みどころ

内部監査部門では、IT統制についてどのような悩みを持っているのでしょうか。多くの内部監査担当者が抱えている悩みは大きく3つあります。
1. 内部監査部門では、経理や業務関連に経験者が多く、ITに詳しい人材が少ない。
2. IT統制の評価方法が分からず、監査法人の言われるがまま対応するしかない。
3. ITと聞くと敬遠してしまう等、そもそもIT統制に苦手意識がある
IT統制のノウハウが不足し、よく分からないという事から苦手意識を持ってしまうということになりがちです。内部監査部門が苦手意識をもっているためか、評価対応もシステム部門に任せっきりになっている、といったケースも見受けられます。
このような負の連鎖が起きている会社様も多いのが現状のようです。


question-mark-738815_1920_2

 
苦手意識を克服するには?

苦手意識を克服するためのポイントは2つあります。
ポイント1:詳細なIT知識(プログラム言語等)を深堀りするのではなく、システム業務概要を把握する。
ポイント2:あくまでも統制の評価と考え、リスクと評価ポイントを押さえる。
この考え方はリスクアプローチです。他の統制の評価でも、まずは業務内容を把握し、その業務においてのリスクとコントロールを設定し、そのコントロール状況を評価しますが、IT統制の評価でも変わりはありません。よって、苦手意識を持つ必要はないと言えます。

 

 

IT統制の悩みを解決する3つの方法

ここでは、IT統制のノウハウが不足している場合の解決方法を3つご紹介いたします。
1. IT統制の研修を行う
ある会社ではIT統制の取っ掛かりとして、研修を行っています。研修では、IT統制の概要・IT統制の評価ポイントを説明しつつ、ワークショップとして、あるコントロールに関する評価手続きを考えてみる、といった取り組みをしています。
2. 被監査部門であるシステム部門と連携する
自社のシステム部門がどのようにシステム管理を行っているのかをヒアリングしながら業務を把握することにより、解決に繋がります。
3. 評価手続きを具体的に記載しておく
例えば「実機にて、テスト環境と本番環境の分離がなされていることを確認する。」という記載は「【テスト環境画面】及び【本番環境画面】を閲覧し、IPアドレスが異なることを確認する。」というように、何をどのように評価するのかを具体的に明記することがポイントです。

 

administrator-1188494_1920_2

 

押さえておくべきIT統制のポイント

以上を踏まえた上で、IT統制対応において押さえておくべきポイントは3つあります。
1. 監査法人との交渉
自社のIT環境を説明し、必要過多とならないように交渉が必要です。
2. 内部監査部門による推進
内部統制全体の視点で、システム部門とコミュニケーションをとりながら対応を推進することが必要です。
3. IT環境変化への対応
継続的に情報収集を行い、新たなリスクの把握や対応が必要です。

partnership-526402_1920_2 

まとめ

・苦手意識を克服する
☑詳細なIT知識を深堀りするのではなく、システム業務概要を把握する
☑あくまでも統制の評価と考え、リスクと評価ポイントを押さえる
・IT統制の悩みを解決する3つの方法
☑IT統制の研修を行う
☑被監査部門であるシステム部門と連携する
☑評価手続きを具体的に記載しておく
・押さえておくべきIT統制のポイント
☑監査法人との交渉
☑内部監査部門による推進
☑IT環境変化への対応