2008年3月31日

実査と精査、監査項目と監査ポイントについて

システム監査の基本的用語について

掲示板読者の方からご質問いただきました

 昨年度、システム管理に合格しました。今春はシステム監査を受験します。 監査経験はほとんどないため、苦戦しております。
 もしよろしければ、アドバイスをお願いします。
 初歩的な質問ですが、以下の違いを教えてください。

  1. 実査と精査
  2. 突合と照合
  3. 監査項目と監査ポイント

 お忙しい中とは思いますが、よろしくお願いします。

ご回答

 3つ質問をいただいていますから、ひとつひとつ回答してみましょう。

実査と精査

 実査と精査とも「監査実施」における用語です。

  • 実査とは、帳簿上記載のある数量や金額と、実際の数量や金額との差異を把握するために、定期的に行われる実際の在り高を確認するための作業のこと。
  • 精査とは、精査とは対象項目の全てを監査すること。反対語は試査

実査:期末棚卸し実施時に、帳簿上の在庫が1000個なければならないとして。本当に倉庫にある在庫数を確認するような場合をいいます。
精査:いわゆる全部の監査対象に対してすべての監査を実施すること。反対語は試査は、 サンプリングをして一部を監査すること。

突合と照合

 突合と照合とも「監査実施」における用語です。

    ※結論
  • 突合照合とは、同義語です。
  • 突合(照合)は、監査対象項目とそれに関連する証拠を照らし合わせること。

 すなわち、監査対象が「従業員セキュリティ教育」であった場合、実際に教育が実施されたかについて 監査証跡と照らし合わせて監査するのです。例えば、

  • 教育計画立案の記録:教育計画書(内容の検討、時期の検討、目標など)、会議録、講師選定記録など
  • 教育実施の記録:講義録、講師からの報告書、レジュメ、講師謝金支払い記録など
  • 教育実施後の評価の記録:同伴者の評価、受講生アンケート、上司の意見、教育担当者による教育計画の見直し・報告書など

 よく、システム監査の小論文の添削をしていると、「セキュリティ教育を実施した」 などと簡単に書く方がいますが、実施記録を照合するのがシステム監査人の役割ですから。これは間違いだということが わかりますよね。(^-^;

監査項目と監査ポイント

 これは実務というよりもどちらかというとシステム監査技術者試験、小論文対策 に関するご質問ですね!

  • 監査項目とは:何を監査するかということ
  • 監査ポイントとは:監査項目であげられた内容を規定に基づいて監査する以外に、注意すべきことに 着眼して監査を行う視点のこと

 高知県があげた業務監査項目のなかの契約(購買調達)事務を例として示します。

  • 随意契約の存在
  • 随意契約・変更契約の理由、手続
  • 業者選定の経過・理由
  • 予定価格の積算根拠・算出方法
  • 物品の借入又は役務の提供を受ける複数年契約の評価
  • 担当者が契約事務の錬度

 契約(購買調達)事務を監査の監査ポイントを示します。

  • 安易に随意契約を選択してないか
  • 随意契約・変更契約の理由、手続きは適正性
  • 業者選定の経過・理由は妥当・適正性
  • 予定価格の積算根拠・算出方法は適正であるか、また、予定価格調書作成省略の際の理由及び根拠は適正であるか。
  • 物品の借入又は役務の提供を受ける複数年契約の適用は適正性
  • 担当者が契約事務を熟知しているか。

 このほかにも以下のような監視ポイントがありますね。

  • 新規発注手続きの権限を明確か
  • 適切な購買計画に基づいて調達しているか
  • 納品物を検収しているか
  • 支払いの入力ミスを複数回チェックしているか。
  • 担当者の購買業務を監視しているか。
質問への感想

 自分も大変勉強になりました。質問いただきました「たあ坊」さんに感謝!
 合格を祈念いたします!

出所・参考文献
 以下のWebを参考にさせていただきました。どうも有難うございます。
システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 10:05

2008年2月14日

ITガバナンスと内部統制との違い

ITガバナンスと内部統制について

読者の方からご質問いただきました

IT統制について学習中なのですが、いまいちピンときません。IT統制とはどのようなものなのかお教え下さい。
 IT全社統制>IT全般統制>IT業務処理統制と包括していく感じに理解しています。
内部統制との関係もいまいちです。

ご回答

 ここではIT統制を一般的呼称であるITガバナンスと読み替えるとします。
 結論としてITガバナンス内部統制(internal control)とは別物です。  別の次元と思って考えるといいでしょう。

ITガバナンスの定義

 オーソライズされている定義は次のとおりです。

  • 企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力(経済産業省)
  • 主にIT化により新たに生じるリスクの極小化と的確な投資判断に基づく経営効率の最大化、すなわち、リスク・マネジメントとパフォーマンス・マネジメントであり、これらを実施するに当たっての、健全性確保のためのコンプライアンス・マネジメントの確立である (日本監査役協会)

 ガバナンスとは統治という意味で、最初は企業統治(コーポレートガバナンス)からきていると思われます。 それをIT分野に導入したものだと推測されます。

ITガバナンスの概要

 以上のことを受けて、ITガバナンスを考えると、次のような概要になるでしょう。

  • 経営戦略とIT戦略との整合性の確保を目的とする
  • ITの投資効果を評価し、統制する
  • 組織の在り方や人員・体制、リスクに関連する事項も含めて評価のフレームワークを確立する
  • そのためのマネジメントコントロール
 ITガバナンスを狭く考えると、恐らく、IT投資を経営戦略と整合性を保ちつつ、有効なものにするための 計画、組織体制といえそうです。

内部統制の定義
 内部統制を知るために内部統制の目的を知る必要があると思われます。その目的は
  • 業務の有効性・効率性を確保すること
  • 財務報告の信頼性を確保すること
  • コンプライアンスの遵守
  • 資産の保全を確保すること

 こう書くと本質がぼやけてしまいそうなんですが、基本的には「不正を防止し、リスクを低減する」というところに 中核がありそうです。
 なぜなら、SOX法などが叫ばれる前から内部統制という言葉はあり、内部けん制 とも呼ばれていました。つまり1人でやると不正が発生したり、発見しにくい業務を従業員の相互監視のもと 行うというところに語源があるからです。

まとめ

わかりやすくいうとITガバナンスは「ITと経営との関係」、内部統制は「ITと法令、規律との関係」 と私は理解しております。

システム監査技術者試験、小論文対策講座(有)アイ・リンク・コンサルタント



投稿者 kato : 13:07

2007年1月22日

ITガバナンスの定義

ITガバナンスについて

ITGI Japan設立

ITGI Japanとは日本ITガバナンス協会のこと。 ITGIは「IT Governance Institute」のこと。 その設立目的は以下のとおり。

  1. 世界のITガバナンスの英文の知識や知恵をすみやかに日本語化して取り入れる
  2. 日本の文化のよさを発信し、世界のITガバナンスの知識・知恵に反映させる。
  3. 世界のITガバナンスの知識・知恵作りに参加する
ITガバナンスの定義

グレートウエスト生命保険の上級副社長兼CIOであるDonald D.Asull氏の定義する ITガバナンスの意義は次のとおりである。

  1. 戦略との統合(Strategic Alignment)
  2. 価値の提供(Value Delivery)
  3. リスクの管理(Risk Management)
  4. 資源の管理(Resource Management)
  5. 成果の特定(Performance Measurement)

 わかりやすくいうとIT計画段階では戦略意図をよく理解して、周知徹底し 運用段階では資源をよく管理・監視して、当初意図した成果をITがあげているのかを検証するということだろう。

参考文献

「ITガバナンス-運用とコンプライアンスのフレームワーク-」
Donald D.Asull 、システム監査学会ニュースVol20 No.4 P7

■2006年 システム監査技術者養成講座に戻る

■システムアナリスト小論文講座




投稿者 kato : 05:26

2007年1月15日

エンベデッドシステム開発のITガバナンス

エンベデッドシステム開発の求められるシステム監査

エンベデッドシステム開発とは

エンベデッドシステム開発とは マイクロプロセッサやシステムLSI などを組み込んだ エンベデッドシステムについて、情報システムを構成する専門性 をもった技術要素として固有技術に含む開発形態のこと。

エンベデッドシステム開発の実態

エンベデッドシステム開発の実態は携帯電話産業などの好調を受けて受注拡大の傾向にある 。しかし、携帯電話の機能向上などを受けシステム開発規模の増大などにいたるケース多く、 また、開発チームの組織体制も人海戦術的な対策で開発に望むケースも散見される。

エンベデッドシステム開発のリスクの例

エンベデッドシステム開発では製品販売後に不具合が発生し、製品の回収、補修にいたるケースも多く 企業経営に与える損失は大きい。たとえば、ソニーは2006年度第2四半期決算は営業損失208億円であり、 その原因はバッテリ不具合が影響したものだった。これをエンベデッドシステムに置き換えれば損失規模の大きさは推定できる。

エンベデッドシステムのコントロール

 以下の浦上論文ではエンベデッドシステムのコントロールについて以下のように述べている。

  1. 組織として部門横断的な技術開発戦略委員会設置
  2. システム管理基準をエンベデッドシステムに読み替えたうえでの開発系監査の実施
  3. 製品市場投入後の不具合は事業継続計画(BCP)的観点で対処

 浦上論文の趣旨は、おそらくISO9000的に企業戦略から、開発検証、設計開発、実装にいたる工程の コントロールから顧客クレーム、製品の識別隔離、是正予防など多岐におよび項目の検証が 必要だからであろう。


■2006年 システム監査技術者養成講座に戻る

■システムアナリスト小論文講座




投稿者 kato : 22:07

2005年8月24日

2005年8月24日 粉飾決算と企業統治について

カネボウの粉飾決算

粉飾決算の概要

カネボウ経営者は、粉飾決算を行った事件が巷間を賑わせている。 このケースは、再三の公認会計士の債務超過指摘を経営者が拒否して、粉飾決算 を押し通した結果が事件につながっている。東京地検特捜部の調査によると、 経営者が「経営破たんにつながる決算はできない」として2002年2月ころから 営業成績を操作していたという。

 この結果、2002年度と2003年度の2年にわたり、連結決算を753億円程度粉飾し、 虚偽の有価証券報告書を関東財務局に提出した疑いがある。

企業統治について

 財務会計学や経営学の用語として「企業統治」という言葉 がある。「企業統治」(Corporate governance :コーポレートガバナンス)は、 「会社は株主のためにある」という観点に立ち、 経営者、及び取締役の活動を監視する仕組みのことである。その仕組みには次のような ものがある。

  • 1.商法監査:商法281条では、会社は監査役の監査を受ける必要があることを明記
  • 2.会計士監査:証券取引法第193条の2等による公認会計士監査
  • 3.内部監査:法律の定めはないが、企業統治の適切性を検証するために任意 で行う監査

 これら企業統治の仕組みは、経営陣が不正を働くことを監視する仕組みとして注目 されている。

システム監査人加藤の所見
ITガバナンスと比較して

 企業統治の仕組みは商法や証券取引法などの法的縛りがある。従って不正も発見 しやすい。これに対してITガバナンス及びシステム監査制度 は法的な縛りがない。この違いが大きい。この結果、システム監査結果の助言 指導にはなんらの法的権限や強制力もない。これが、企業のITガバナンスを大きく損なう 結果につながっていると思われる。

 以前、独立したての頃、ある企業Aの依頼で、Aの親会社Bが推奨する情報システム を検証したことがあった。その結果、B主導のシステムの欠陥を発見し、指摘したことがある。 しかし、Bは問題を改善せず、問題点を指摘した著者は担当を外れる結果となった。

監査というものは、このように監査するものにも大きなプレッシャーとリスクが 伴うことがある。上記のカネボウを担当した監査法人も法的後ろ盾があったとはいえ かなりのプレッシャーだったのではないか。想像に難くない。

情報処理技術者の地位を高めるためには

 情報処理技術者試験が一部の人間に軽んじられるケースとして、法的拘束力 や強制力、既得権益がないことがあげられる。当然、業務的リスクの多い 「システム監査技術者」はもっと社会的に地位が高くても良いし、 法的権限が与えられても良いと思う。そうでなければ、違法行為を発見した場合は、監 思い切った勧告ができない。

 さらに、システム監査人の地位を公認会計士とはいわないものの せめて税理士なみにすることによって、ITガバナンスはより実現性の高いものになる はずである。具体的には、一定規模以上の企業についてはシステム監査 を義務付ける制度があっても良いと思う。なぜならITは企業のみならず社会的インフラ であるからである。

参考:日経新聞 2005年7月30日「カネボウ元社長ら、赤字決算案 突き返す」
(c)アイ・リンク・コンサルタント 加藤忠宏



投稿者 kato : 15:20

2005年8月22日

2005年8月22日 会計士、会計監査不正の通報義務へ

粉飾決算発見時の通報義務制度へ=公認会計士制度=

現状の課題=粉飾決算対策=

カネボウ経営者が、粉飾決算を行った事件が巷間を賑わせている。 このケースは、再三の公認会計士の債務超過指摘を経営者が拒否して、粉飾決算 を押し通した結果だ。

 しかし、これは重要な問題を孕んでいる。なぜなら、有価証券報告書に 虚偽記載があると、それに基づいて株を売り買いする投資家 の判断に誤りが生じるからである。

制度改正の趣旨

 金融庁の諮問機関である企業会計審議会は、監査法人や公認会計士の会計監査 手順を定めた「監査基準」のみなおしに着手しつつある。その 改正概要は次のとおりである。また必要があれば「公認会計士法」 改正も行う。

  • 会計士が不正の疑いを持った場合、証券取引等監視委員会などへの報告を義務付ける
  • 悪質な場合、検察への通報を義務付ける
  • 対象となる監査は、上場企業のほか、資本金5億円以上の株式会社など非上場企業も含む
  • 会計士は不正の疑いがあった場合、弁護士に相談して報告を行う。
  • 会計監査の後、不正が発覚した場合、通報を怠った監査法人や会計士は公認会計士法に基づく戒告処分を行う

上記の改正は2007年度実現を目指して行われる。

システム監査人加藤の所見

 本制度改正の課題として、監査される企業と監査法人との間の守秘義務契約 にある。企業にとって不利益な情報(例えば、不正の報告)が守秘義務違反に該当する 可能性もあるからである。

 そこで、「監査基準」改正に当たっては、契約上で会計士が 違法行為を発見した場合は、監視委員会に報告できることを明記するなどの対策が 必要と思われる。

 さらに、通報制度の実効性を確保するためには、通報義務がある 場合の判断基準が明示されなければいけないという指摘も公認会計士からあがっている。

参考:日経新聞 2005年8月2日「会計士に通報制度」
(c)アイ・リンク・コンサルタント 加藤忠宏



投稿者 kato : 18:30

2005年6月22日

2005年6月22日 IT投資を統治するITガバナンス

IT投資とITガバナンス

問題の提起

独立行政法人産業経済研究所調査「企業におけるIT投資の不良資産化回避 に関する調査研究」によるとIT資産の1/3が不良資産化しているとのこと。 これは由々しき問題である。なぜなら、これが製造業なら、その企業は倒産している。

こんな問題が放置されているのは今の日本でもIT業界だけで、談合で有名な業界でも ここまでは酷くない。この問題が手付かずでいる理由は、思うにIT投資の内容が形として見えないことと、 内容がブラックボックス化されていることと関係があると思う。

ITガバナンスについて

ITガバナンスという言葉がある。これは、コーポレートガバナンスという用語に語源がある。 コーポレートガバナンス(以下CG)は企業統治と訳される。もっと突き詰めて考えるとCGは、「 会社は誰のものか」について深く突き詰めた概念である。

CGの場合、商法に基づく「株主代表権訴訟」が知られている。会社に対して損失を与えた 経営層の人々を株主が告発する制度である。同様に、ITガバナンスは「企業が競争優位性構築 を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力」(1999年 経済産業省),「ITによって生ずるリスクの極小化、的確な投資判断に基づく経営効率の最大化」 (日本監査役協会ITガバナンス委員会)をあげている。

ITガバナンスを整理すると

難解な定義はともあれ、ITガバナンスのポイントは次の通りである。

  • リスクマネジメント:IT投資リスクのコントロール、新たなリスクの極小化
  • パフォーマンスマネジメント:経営戦略を的確に反映した情報戦略とIT投資、新しいビジネス モデルを実現するIT化投資と運用
  • コンプライアンスマネジメント:電子商取引等における特定商取引法、商法、民法、 個人情報保護法などへの法的準拠
システムアナリスト加藤忠宏の意見

ITガバナンスは経営戦略を反映するものだけに、めりはりのある管理能力が求められる

CIO(Chief Information Officer)の統治能力の強化

ITガバナンスを統治するためには、CIOの管理能力の発揮が求められる。そのCIOは、 財務諸表を理解できるだけの会計的能力、高い経営戦略の理解能力が求められる。また、 ITガバナンスの客観的評価を行うためにシステム監査の実施が不可欠であろう。

競争優位性のあるIT投資戦略の提案の必要性

企業を取り巻く環境は常に変化している。その経営環境の変化を的確に読み取り、 必要に応じた投資計画を立案する必要がある。そのために最新の技術動向の導入の判断能力や 企業のおかれた業界の抱える課題についての長期展望への的確な認識が求められる。

参考:日本経済新聞2005年6月16日「変化をチャンスに変えるIT投資」



投稿者 kato : 23:46

2005年6月19日

2005年6月19日 企業戦略とITガバナンス

競争優位性を確立するためのITガバナンス

ITガバナンスという言葉の語源は「コーポレートガバナンス」にある。コーポレートガバナンスは企業統治と訳される。これは、株主代表権訴訟などにあるように、会社は誰のものか、そして、どのように運営されるべきかという概念から生まれた。

ITガバナンスの定義
経済産業省定義:ITガバナンス

経済産業省は「企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力」と定義している。

日本監査役協会ITガバナンス委員会定義

日本監査役協会ITガバナンス委員会は、「主としてIT化により新たに生ずるリスクの最小化と的確な投資判断に基づく経営効率の最大化、リスクマネジメントとパフォーマンスマネジメント及びコンプライアンスマネジメントの確立」としている。

システムアナリスト加藤忠宏の所見

要するに、以上のことを整理するに、ITガバナンスは「IT投資・運用の効率を高めることにより、リスクと費用対効果を最適化して、企業戦略を実現するもの」と言えるのではないか。

独立行政法人産業経済研究所の調査「企業におけるIT不良資産化回避に関する調査研究」(2002年11月)によると日本企業のIT化不良資産はIT投資の1/3、金額にして7兆円が不良資産という。

当然、この責任はユーザにもあるが、課題投資を強いるITベンダーにもあるのではないか。システムアナリストはITガバナンスを指導し確立することにより、IT投資と運用の最適化を図らなければならない。このためには次のような工夫が必要である。

  • 経営戦略の明確と、これに基づく情報化戦略計画の立案
  • 企業の財務状況や事業計画に見合ったIT投資計画の立案
  • それをコントロールできる、CIO(Chief Information Officer)の育成
  • 適正なシステム監査の実施
  • 効率的IT化投資実現のためのアウトソーシングの検討、最新技術の検討
参考:日本経済新聞「変化をチャンスに変えるIT投資」2005年6月16日



投稿者 kato : 15:29

2005年6月13日

EUの企業情報開示義務制定について

EUが上場企業への企業情報開示義務統一化

欧州に上場するわが国企業への影響必至

EUの証券規制委員会が、上場企業の情報開示ルールの統一化に取り組んでいる。このため、欧州に上場するわが国企業への影響も必至となっている。具体的には、経営破たんの可能性があるリスクに付いて、日本と開示制度が異なるため、わが国企業に対応が求められそうだ。

わが国では、「経営破たんリスクの開示」が任意となっている。このため、EUが同リスクを開示することを求めると、中間決算ごとにそのリスクを経営報告書に記載しなければ成らない。

システムアナリスト加藤忠宏の所見

EUのこの方針は「国際会計基準」へのますますの準拠を意味するものと考えられる。国際分業化が進む中、他国企業の経営破たんが他の企業にも多大な影響を及ぼすことも考慮していると思われる。「国際会計基準」などのグローバルスタンダードの波がわが国企業にも影響を与えそうだ。

本テーマはどちらかというと、「システム監査(AU)」試験に出題されそうなテーマでもあるけれど、観点を変えれば、ITガバナンスの管理という視点からAN試験でも出題テーマになりえると考える。

参考:「将来の経営リスク情報 EU開示義務」2005/06/09日本経済新聞夕刊



投稿者 kato : 23:57