凡そ全ての監査手続においては、網羅的に問題を発見することではなく、重大な問題がないことを合理的に保証することによって、監査対象の適正さを立証するという方法をとる。この合理的保証という考え方の前提になっているのが、よりリスクの高いと想定されるところから想定リスクが顕在化していないという心証を順次得ていくリスクアプローチの手法をとりながら、全体としての監査対象において重大なリスクが顕在化していないという証明を行っている。
したがって、監査手続の取捨選択においては、如何に効率よく手続を選択するか、あるいは不要な手続を捨象するかということが、実は最も重要なテーマとなってくる。つまり、「ここは見なく(手続を適用しなく)ても全体には大きな影響はない」と言えるかどうかが、手続取捨選択の判断のポイントとなる。
これは内部統制評価制度における経営者評価手続においてもまったく同じことが言える。むしろ、経営サイドとしては、適正であることに要するコストと適正であることから得られるベネフィットを常にトレードオフの関係で捉えて最大の効果を出すことを考えているだろうから、ごく自然に受け止めていただけるであろう。
当然、内部統制評価制度におけるIT統制の評価においても同様のことが言える。巷間の書物を読むと、どちらかと言えば何をしなければならないということを強調したものが多い中、今回、上記の効率性の観点を前面に押し出している論稿(神崎時男「IT統制の不備への対応と次年度への対策」旬刊経理情報1209号2009年3月10日)を見出したので、内容を紹介しつつ私論を交えたい。IT統制の評価と他の統制評価との大きな違いとして現れるのが、評価担当者にITに関する知見が要求されるところである。このことが経営者評価の実務においては、人材の不足や、会計部門と情報部門との意識の差が出るなど、大きなボトルナックになることがある。したがって、計画段階において、統制が財務報告目的にどのように寄与するのか、どういう位置づけなのか、といった点について、財務報告の担当者とIT担当者とがきちんと理解を共有しておくことが肝要である。この点、論者は、「ITによって統制・・・手作業によって統制・・・両者が一体となって統制・・・総合的に検討する必要性がある」と強調するだけでなく、IT全般統制の不備がそのまま直接的に重要な欠陥になるわけではなく、あくまでもIT業務処理統制への影響を検討する性質のものであるとしている。これは実施基準等を読めばわかることなのだが、いまだ誤解されているところであり、強調してもしすぎることはない。
ここに付け加えるとすれば、IT全般統制の目的は直接的積極的に財務報告の信頼性に寄与するというよりも、ITを通じて扱われる「データ」の信頼性を通じて財務報告としての意味を歪めないようにするという(大胆な言い方をすれば)消極的な位置づけである。だから、IT全般統制が業務処理統制にどのように寄与するかを計画段階できちんと見極めておくべきである。ここでの準備が不十分で、通り一遍の評価を行ってしまい不備が検出されて大騒ぎをしても、結局は財務報告にほとんど影響のない不備事項に振り回されたりする可能性がある。
この点につき論者は、稿末において、IT業務処理統制におけるキーコントロールが数個しか存在しないIT基盤・・・・については、このような(業務処理統制の評価を継続的に実施する)対応と・・・・IT全般統制を評価することの費用対効果を十分に検討すること」を強調している。
二番目にはIT業務処理統制の中で最も重要なアクセスコントロールについて述べている。
アクセスコントロールとは、正当なデータが処理過程にインプットされるように、ユーザアクセスを権限者に制限したり、あるいは正確でないデータがインプットされないように、あるパラメータを定めてそれ以外のデータが処理過程に入り込まないようにする統制である。ここで気をつけねばならないのは、エラーに対する統制と不正に対する統制とは、統制の目的も手段もまったく異なってくる点である。
エラーに対する統制は、様々な方法があるが、所詮は人間が入力するデータが適切なデータであるという判断の下で入力しているのだから、「ITによる統制」の限界というものがある。還元すれば、ITのみで全てを実現するかのような錯覚を持って経営者評価を行ってしまうと、不備に対する過剰反応が出てくる可能性がある。むしろ、ここは人間が中心となって入力データの検証を行っている中で、ITが補完的に人間の作業をどのように手助けしているかという位置づけで見たほうがよい。この点、論者は「業務処理権限のない担当者が、不正ないし誤って処理を実行したとしても、その後の照合手続で発見される可能性がある」として、人間の判断を強調し、さらに「分析手続」も重要な統制と位置づけている。つまり、論者の警告は、IT統制が機能しているからといって、その後の人間による発見的な統制が機能していないことの方がよほど問題であるとの主張であり、論者の経験値が活かされた知見であろう。
パスワードの変更は定期的に行われ、8桁以上の英数字の混じったもの、さらに名前や誕生日を類推させるものは使ってはならないといった完璧なパスワード管理を誇る会社であっても、担当者が出社後ログインして退社時にログアウトするまでの間、ずっと誰もがアクセスできる状態であれば、何の意味もない。ドアの鍵を高度なアルゴリズムの電子ロックにしても、人間がロックしなければ、鍵としては機能しないのである。そういった問題は、やはりデータそのものを直接的に検証する手段を導入することが必要であり、IT統制だけではデータの適正性は保持できないという前提にたったアプローチを検討しておく必要があろう。
最近、監査現場でよく耳にするのが、経理担当者がシステム内部の処理をよく知らないまま経理実務を行っているという事実である。そもそも取引の発生を人間が認知しシステムにインプットされたデータが、財務報告情報として加工される過程を経理担当者が知らないということは、「会社に起こった事実を財務情報として報告する」という重責を担っている経理部門の自覚のなさを露呈している。「システムが処理しているのでよくわかりません」と平然と言える経理部員がいる会社の経営者は、財務報告統制の経営者評価制度の趣旨を今一度熟考して、IT統制以前に、経理部門の存在意義そのものを見直したほうがよいかもしれない。
