全般統制が有効でないのに、自動処理統制をサンプル25件で検証すればOK？？？

レビューアー時代に経験したことです。

某大手監査法人から引き継いだ監査業務で、全般統制が有効でない、と結論付けているのですが、自動処理統制をサンプル25件検証し、エラーがないので、その自動処理統制に依拠できる、としていたのです。

全般統制が有効でない、ということは、データの入力におけるアクセス・コントロールもできておらず、プログラムの更新もだれでもいつでもできてしまう、ということを意味します。自動処理統制は、このような状況下では、期を通じてそのプログラムが正常に機能していたかの心証を得ることができません。期を通じてプログラムが改ざんされることなく、入力されたデータもしかるべき担当者しか入力できない、という保証を与えるのが全般統制のはずです。

監査チームは、「IT委員会実務指針第6号」の53項後半部分「例えば、追加的運用評価手続が必要と判断した場合は、不備のある全般統制に関連する業務処理統制の運用評価手続の範囲（件数、期間等）を拡大する等の対応を行うことになる。」にしたがって、自動処理統制の評価をサンプル１件だけではなく、25件と件数も期間も拡大しており、全般統制の不備に対応する監査手続を立案し、実施している、と主張されていたのですが、この場合、件数、期間を拡大しても全般統制の不備は治癒しないですね。