連載
» 2009年02月05日 00時00分 UPDATE

お茶でも飲みながら会計入門(9):会計監査でIT全般統制をチェックする理由

意外と知られていない会計の知識。元ITエンジニアの吉田延史氏が、会計用語や事象をシンプルに解説します。お仕事の合間や、ティータイムなど。すき間時間を利用して会計を気軽に学んでいただければと思います。

[吉田延史,日本公認会計士協会準会員]

今回のテーマ:IT全般統制

r5teakaikei09_01.jpg

 上場会社のシステム部にお勤めの方は、「最近、会計士がわがシステム部によく来るようになった」と感じてらっしゃるかもしれません。平成20年4月1日以降開始の事業年度から上場会社に対して内部統制監査が義務付けられ、ITにかかわる統制も監査の対象になったのが大きな原因です。今回は、IT全般統制について会計監査で見られる理由や会計士の視点などを解説します。

【1】会計士は内部統制を見る

 内部統制監査制度がない時代から、会計士は内部統制をチェックしてきました。その理由を明らかにするため、会計監査の一幕をのぞいてみましょう。

r5teakaikei09_kaikei.JPG

 「それでは、売上高が正しいかどうかを確認させていただきます」


r5teakaikei09_keiri.jpg

「よろしくお願いします。今期は売上額175億円になりました。ここに売上高の明細がありますので、チェックをお願いします」

r5teakaikei09_kaikei.JPG

「ふむ……それにしてもすごい数ですね。ざっと数万件はありそうですね……。これをチェックするには……」


 上場企業の1年間の売り上げを1件1件、妥当か否かチェックするのでは、時間と人をいくら費やしても足りません。そこで会計士は以下のように工夫します。

r5teakaikei09_kaikei.JPG

「売り上げの1件1件が正しいかどうかを、御社ではどのようにチェックされていますか?」

r5teakaikei09_keiri.jpg

「はい、売り上げの計上基礎となる顧客からの注文書は上司の承認を必要とします。ほかにも……(以下略)」

r5teakaikei09_kaikei.JPG

「なるほど。では承認が適切に行われているかを確認させてください」


 1件1件調査することができないため、会計士は会社の内部チェックを利用します。内部チェックを利用するために、会社がしっかりとしたチェック体制を構築しているかについて、会計士は確認します。会社の内部チェック体制を内部統制と呼びます。監査人は決算書が適正かどうかを証明するために内部統制をチェックするのです。

【2】IT統制が必要なのは?

 先ほどの会話の続きを聞いてみましょう。

r5teakaikei09_keiri.jpg

「分かりました。注文書はすべて基幹システムで管理されていて、上司は基幹システムで承認しています。承認されたものは受注残一覧に上がってきますので、承認状況もこちらで確認できます」

r5teakaikei09_kaikei.JPG

「なるほど……。しかし、承認されたものはすべて受注残一覧に上がってくるのですか?」

r5teakaikei09_keiri.jpg

「コンピュータのすることですから、間違いありません」


 こういった場合、会計士が承認状況をチェックするためには、基幹システム上、データが適切に流れているかどうかもチェックしなければなりません。そこで、IT統制のチェックが必要となるのです。

r5teakaikei09_kaikei.JPG

「しかし、システムだって万能ではないでしょう。もしかしたらプログラムに問題があるかもしれません。システム部門の方にいろいろお話を聞かせてください」

r5teakaikei09_keiri.jpg

「では、システム部長を呼んでまいります」


r5teakaikei09_system.jpg

「基幹システムについて、何かお聞きになりたいのですか?」


r5teakaikei09_kaikei.JPG

「はい。本年度のシステムの障害状況はどうですか? また、承認データは不正に書き換えられるような仕組みになってないですか?」

r5teakaikei09_system.jpg

「障害は特に発生しておらず、セキュリティについては(中略)となっており、不正な書き換えは起こりません」

r5teakaikei09_kaikei.JPG

「なるほど、ありがとうございました」


 システム障害の管理・対応体制や、データのセキュリティ確保など、アプリケーションが有効に機能する(上記の例では、承認データが適切に流れる)前提となる基盤や仕組みをIT全般統制と呼びます。会計士はIT全般統制を見て、アプリケーションが有効に機能していることを裏付け、さらに承認状況を確かめることで内部統制が有効であると結論付け、決算書の適正性を示そうとします。

r5teakaikei09_02.jpg

【3】内部統制監査制度

 現在義務付けられている内部統制監査制度では、上記の会計士が内部統制を評価するという考えをさらに進め、経営者が自社の内部統制を評価し、内部統制報告書を公表しなければならないとされています。そのため、会計士の内部統制チェックに先立ち、企業内でIT全般統制についても評価しなければなりません。

【4】システム部門の留意点

 最後に、内部統制評価の際の留意点について見ておきましょう。

(1)財務報告に関係するものだけでよい

 内部統制監査制度の対象は、財務報告に関係するものに限られます。内部統制の構築は、業務の効率アップなどを目的にすることもありますが、それらのためだけの統制は制度の対象外です。例えば、スケジュール管理を行うためだけのグループウェアは財務報告には関係しないため、評価基盤の対象外とできます。ただし、会計士監査とは別の監査役による監査においては、効率アップを目的とした内部統制も監査の対象となります。

(2)子会社も重要ならば対象に

 上場会社は連結ベースで、内部統制を評価しなければならないので、重要な子会社もIT全般統制の評価対象となります。

 現実には、解説中のような質問だけにとどまらず、文書化なども求められ、四苦八苦している企業も多いかと思います。ディスクロージャーに対する企業の考え方にもよりますが、財務報告による統制を完ぺきに整備しても、利益が上がるわけではないので、最小限のコストで監査を乗り切りたいものですね。それではまた。

筆者紹介

r5teakaikei_nobu.jpg

吉田延史(よしだのぶふみ)

京都生まれ。京都大学理学部卒業後、コンピュータの世界に興味を持ち、オービックにネットワークエンジニアとして入社。その後、公認会計士を志し同社を退社。2007年、会計士試験合格。仰星監査法人に入所し現在に至る。

イラスト:Ayumi



「お茶でも飲みながら会計入門」バックナンバー

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。