内部統制監査におけるIT統制
会計監査人による財務諸表監査の際に、金融機関および一部のIT依存型の大企業を除いて大半の企業では「ITに依存しない」監査が実施されています。
「ITに依存しない」監査とは、ザックリといってコンピュータのハード及びソフトによる統制には依存せず、その入力及び出力の内容をハードコピー等で確認することで財務諸表に関する数値のつながりを検証するということです。すなわち、ITの部分については、ブラックボックスのままだということです。企業のITは電卓なみと想定されており、複雑な処理はされず、加減乗除程度の処理のみをしていると言われています。
大手監査法人の基準で内部統制として依存できるITを持っている企業は、金融機関で3割程度、一般事業会社では1割程度と聞いたことがあります。現在の日本企業の大半はITに依存した財務諸表監査を実施できない理由がここにあるわけです。例えば日本ではアクセス権限の管理が弱いといわれています。
財務諸表監査において「ITに依存する」とする場合、財務諸表の数値に係るIT監査を実施する必要が出てきます。ところが監査法人にはIT監査が出来る人員は少なく、金融機関の監査で手一杯という裏事情もあります。また、IT監査を導入したからといって、監査時間のトータルが減るとは限らず、タダでさえチェックリストの束で監査時間が延びており、監査報酬の交渉がややこしくなるという事情もあるでしょう。
内部統制の監査が始まるにあたって、IT統制が注目を浴びています。しかし、よく考えてみると財務諸表監査においてITに依拠しない監査を実施しているのに、財務報告に係る内部統制については その重要性に鑑み、ITの全社的統制や全般統制について経営者が評価を行い、会計監査人が監査を実施するというのも無理があります。
今回の「内部統制評価監査制度」の実施に当たって、会計監査に耐えられるIT統制を導入し、監査人側にもIT監査を導入させ、経営者評価の効率化と有効性の向上、及び監査人による財務諸表監査の効率化を目指すのも一つの見識といえます。
なお、意見にかかる部分は、私の私見です。
HSリーゼンバーグ ディレクター 飯塚隆(公認会計士・税理士)
(更新日:2007年3月30日)
