先月、担当となった会社の内部統制監査が始まりました。担当となった会社は、某大手監査法人から引き継いだ会社でしたが、IT全般統制評価は実施しているのですが、自動処理統制が一つも評価対象となっておらず、手作業統制だけが評価対象となっておりました。

一般消費者向け商品の店舗販売を行っている会社で自前でPOSシステムを開発し、運用していらっしゃるのですが、一つも自動処理統制が評価対象となっていないのです。

全般統制は、自動処理統制が期を通じて改ざんされていないことの心証を得るために行う手続きです。なのに、自動処理統制が評価対処となっていない、とはこれ如何に？

大手監査法人からの引継ぎ案件だけに驚いてしまいました。

レビューアー時代に経験したことです。

某大手監査法人から引き継いだ監査業務で、全般統制が有効でない、と結論付けているのですが、自動処理統制をサンプル25件検証し、エラーがないので、その自動処理統制に依拠できる、としていたのです。

全般統制が有効でない、ということは、データの入力におけるアクセス・コントロールもできておらず、プログラムの更新もだれでもいつでもできてしまう、ということを意味します。自動処理統制は、このような状況下では、期を通じてそのプログラムが正常に機能していたかの心証を得ることができません。期を通じてプログラムが改ざんされることなく、入力されたデータもしかるべき担当者しか入力できない、という保証を与えるのが全般統制のはずです。

監査チームは、「IT委員会実務指針第6号」の53項後半部分「例えば、追加的運用評価手続が必要と判断した場合は、不備のある全般統制に関連する業務処理統制の運用評価手続の範囲（件数、期間等）を拡大する等の対応を行うことになる。」にしたがって、自動処理統制の評価をサンプル１件だけではなく、25件と件数も期間も拡大しており、全般統制の不備に対応する監査手続を立案し、実施している、と主張されていたのですが、この場合、件数、期間を拡大しても全般統制の不備は治癒しないですね。

先週、顧問契約をしている監査法人の方々に、私の持っている「IT統制評価全書」をお貸ししたのですが、一人の方が、Amazonで検索してくださったところ、中古品で18,000円を超える値段がついていることを教えてくださいました。絶版になっているとは聞いておりましたが、中古品がまさかそんな高価になっているとは思ってもおりませんでした。別の方からは、自費で買って、10,000円もしたけれど、とても分かりやすい良い本だ、とお褒めの言葉をいただきました。

私が企画、編集（もちろん、執筆をした箇所もあります）した本だけに、とてもうれしい思いをしました。

帰ってから、Amazonで検索したところ、古いものですが、詳細な「カスタマーレビュー」が載っておりました。TOSHIさん、高評価いただき、ありがとうございます。

「IT統制評価全書」は2013年4月の刊行ですので、クラウド・サービスも今ほど広がっておらず、初期段階の解説にとどまっていますし、「不正リスク対応基準」はその後に公表されているので、対応できておりませんし、対応策としてのCAATについても言及できておりません。この辺りを追補した改訂版を出したい、という思いを強くした日でした。

ご参考までにAmazonの【カスタマーレビュー】を転載させていただきます。

５つ星のうち5.0

2017(平成29)年7月から、「松本達之公認会計士事務所」として、活動を始めます。

これまでの経験を皆様に還元することを目指し、活動して参ります。

まずは、会計士が苦手とする「IT統制評価」について、苦手を克服する方法お知らせして参りたいと準備を始めております。

ご期待ください。

はじめまして

公認会計士の松本達之と申します。

本年4月に、有限責任あずさ監査法人ＩＴ監査部から「ＩＴ統制評価全書」を出版しました。私は、その企画、執筆、校正、編集を、総括編集人として行いました。

企画したのは、2011（平成２３）年の7月頃でしたので、その後、クラリティ版の監査基準委員会報告が発効したことには、何とか対応したのですが、不正リスク対応基準までは対応できませんでした。また、ＩＴ統制評価の前後についても多少、書きましたが、十分なものとは考えておりません。

ということで、要は、書き足りないことが残っているので、このホームページに書いていきたいです、という決意表明をさせていただきます。

どの程度の頻度で、ここに情報を提供できるか、不明ですが、まめにやって参りたいと思います。

温かく見守ってやってください。