情報技術・コンピュータ支援に基づく監査技法

基準

情報技術に基づく監査技法の利用

今日、ほとんどの組織体において 情報システムを利用している。内部監査人は紙媒体として残っていない記録をレビューし、監査人の結論を裏付ける記録の内容を理解しなければならない。

コンピュータから情報を取得する際、内部監査人は書類をプリントアウトしてレビューすることもあれば、情報システム機能を利用して必要な情報を含むレポートを作成する方法がある。一方、内部監査人は独自の検索システムによって、より独立性の高い業務を実施することが可能である。内部監査人にとってコンピュータ支援監査技法(CAATs)は、IT環境下で監査を実施する際に有効なツールである。

「規準」は、すべての内部監査人が、情報技術の監査業務に主たる責任を負う者と同じ専門知識を持つことを要求していない。ただし、監査で形成される監査証拠の大部分が、コンピュータ新監査技法(CAATs)によってもたらされることもあるため、監査人は、CAATsの利用時には一定にの知識をもって、入念に計画を立て、職業的専門家として正当な注意を払うことを要求されている。

具体的に「基準」では、アシュアランス業務に関して、(情報)技術に基づく監査技法の仕様について以下の2つの規程をおいている。

適用準則:1210.A3

内部監査人は、与えられた業務(work)を遂行するために、重要な情報技術(IT)のリスクおよびコントロール手段についての十分な知識と、活用可能なテクノロジー・ベースの監査技法を身につけていなければならない。しかしながら、すべての内部監査人が、情報技術(IT)の監査業務に第一義的な責任を負う内部監査人と同等の専門知識を持つことは期待されていない。

適用準則:1220.A2

専門職としての正当な注意を払うに当たって、内部監査人は、テクノロジー・ベースの監査技法とその他のデータ分析技法の使用を検討しなければならない。

CAATsは例えば以下のような様々な監査手続きの実施に利用できる場合がある。

  • 取引および残高の詳細検証
  • 分析的手続
  • IT全般統制の準拠性テスト
  • ITアプリケーション統制の準拠性テスト
  • 侵入テスト

汎用監査ソフトウェア(GAS)

以前の情報システムでは、ほとんどのアプリケーションがCOBOL等の旧来プログラミング言語で作成されていた為、内部監査人が膨大なデータファイルをレビュー又はテストする場合、データ処理部門へ支援申請しなければならなかった。データ分析をするためにプログラマーに依存しなければならなかった為、内部監査人の完全な独立性は保たれていなかった。

1970年代初頭、大手会計事務所によって監査検索プログラムが開発された。このプログラムにはデータ検索機能に加え、連番管理の例外の発見、監査サンプリング機能等の汎用的な監査手続きが含まれる場合がもあり、のちに汎用監査ソフトウェアとして商品化された。

内部監査人はGASによってIT専門家に頼ることなく、監査手続きを遂行することが可能になった。

(1)ファイルへのアクセス

GASは異なるデータ形式、ファイル構造の検索を可能にし、「読み取り専用」のファイルを抽出する。また、他のファイリングのインデックス付け、分類、結合も可能である。

(2)監査人が定義付けた基準に基づく特定の記録の評価

GASは監査上必要とする特定のデータを抽出する機能に優れている。たとえば、特定の用語を含むトランザクション・データを特製しりことが可能となる。また、GASプログラムは例えば期日超過の売掛金情報などのの慎重を要する情報を抽出することもできる。

(3)演算機能

試算表を作成しそこでの収支情報を実際に生産部門のソフトウェアで作成された情報と比較することが出来る。

(4)統計的機能

サンプルを階層化し、統計的分析を行うために用いることができる。

(5)そのほか機能

GASは、統制の有効性のテストと同時に、会計情報の誤りの評価などの監査手続きにも活用される。

テスト・データ

テスト・データ法を利用する目的は、プログラムフローチャートや質問書の回答書に説明がある通りに、統制が有効に機能しているかをkぁ九人することである。

テスト・データ法では、いったんコンピュータが取引を決められた方法で処理するようにプログラミングされれば、すべての取引が同じように処理されるという基本的な考え方がある。したがって、内部監査人は、内部監査人が確認したい統制について、プログラミング通りに処理されているかを確かめる為に誤りを含む取引を準備すれば良い。内部監査人は、誤りを含む取引が実際の取引と混同することがないように注意しなければならない。また、テストされたプログラムは監査対象部門が通常使っているものであるという確証を得ることも必要である。

テスト・データ法には以下の3つの利点がある。

  • 実際に監査対象部門のコンピュータを通したテストを実施するため、アプリケーション機能に関わる明確な証拠が得られる。
  • 適切に計画されることにより、組織体の運用の最小限の中断で済む。
  • 情報システム環境の最小限の知識のみ要求される。

後述するITF法(統合テスト法)を含め、テスト・データを利用する場合、監査人は、テスト・データは誤処理の可能性を指摘するにすぎないこと。つまり、この技法では、実際の本番データは評価されないことを意識しなければならない。

ITF法(統合テスト法)

ITF法では、監査対象部門の通常利用しているコンピュータ・プログラムの内部に従業員数、顧客、勘定科目等の完全なデータを含む事業部門、営業所などの架空のサブシステムを構築する。

ITFとは、アプリケーション・システムの開発プロセス中に、そのアプリケーション内部に設計される一つ又は複数のモジュールを指す。ITF法は、実際に稼働しているITFを内蔵しているアプリケーション・システムの中で本物の取引とダミーの取引を同時に入力してアプリケーション・システムの論理及び統制をテストする方法である。内部監査人は、ITFによる出力結果がわかっている為、出力結果をレビューすることが出来る。

ITFのもっとも単純かつ一般的な利用方法として、ITF取引のみに他とは異なる範囲の数値を指定する場合がある。例えば、受注処理システムにおいて、正規の取引番号の範囲ではない取引番号をIFT取引の為に留保し、入力するような方法である。(ITF取引を正規の取引と隔離し、本物の取引に影響を与えないためである。)

ITF法もテスト・データ法もダミー取引を利用する点で類似している。ITF法ではダミー取引を、実際に稼働されている監査対象部門のシステムに、実際のデータと同時に処理させる利点があるいっぽい、本物の取引に影響が無いよう細心の注意が必要である。

平行シュミレーション法

監査人は監査対象部門のデータが適切に処理されるようなコンピュータ・プログラムを準備し、監査対象部門による出力結果と監査人のプログラムの出力結果を比較する。例えば、減価償却費を両プログラムで計算させ、同じ結果が得られた場合は、監査対象部門のプログラムの論理演算処理が適切だと結論付けられる。

平行シミュレーション法を初めて導入する際には時間、コストがかかるが、ダミー取引を作成する必要は無く、また、同じ監査対象部門に対しては再利用が可能である。但し、内部監査人は、統制リスクの評価にあたって有効な代表となるデータを利用しなければならない。

コメント