人かITか

IT統制における留意

 ITを用いた統制は「予防的」側面が強い

すなわちITで生成される情報を活用・分析する手続がないところで、ITの統制を議論しても、それは「財務報告の適正性」という目的からは外れたIT統制の確立を自己目的化した議論になる可能性がある

 全体感が必要

IT部門とユーザ部門との「統制の擦り合わせ」「統制のバランス」を見ている人がいないとそれぞれに閉じた議論が全体の不効率に繋がる。特にITを専門にする人と会計を専門にする人との協議は効率的効果的にキーコントロールを選び評価する上で重要である。IT専門家の統制に対する目標は、コントロールによってあくまでも統制による完全なデータ処理をもたらすことを目指しつつも予算や優先順位などの経営者による制約があることを前提にその中でベストなソリューションを提供することを使命としている。他方、監査に求められる保証はあくまでも合理的保証であることから、常に重要性の判断が加わる。したがってIT部門だけにキーコントロールの選定を任せるのではなく、経営目標と照らし合わせるというフィルターをかけて、最終的には経営者の意思としてのキーコントロールの選定としなければならない。

蛸壺に陥る原因と考えられるもの

• 知識言語の違い「IT知識の壁」vs.「会計知識の壁」
• 業務思想の違い「形式知による自動処理」vs.「暗黙知や経験を活用した手処理」
• 経営者が意思と目的を明確にしないと蛸壺にこもりがちになる可能性が高い。

教訓

• 内部監査部門は全体としてリスクが軽減されているかどうかを言う観点（＝経営者の視点）をもち、経営者に提言することが期待されているのではないか。

• 財務報告の適正性を検証するに当たっては、IT統制に依拠する形で検証するのか、IT統制よりも人間統制を重視した形で検証するのかは、評価者、監査人双方にとっては重要な戦略といえる。

 IT統制の評価結果の判断

IT統制の評価結果をどう受け止めるかも難しい問題だろう。特に、監査理論の世界では、「IT全般統制が有効でない→IT統制に依拠できない」という一方通行な判断がされることが多いようだ。しかし、全体観という意味では、ビジネスおよび財務報告におけるITの影響度とITに要求されるリスク軽減レベルはパラレルな関係にある。したがってある特定の統制に不備があるからといって、財務報告リスクが合理的水準にまで軽減されていないと一方的に言い切ってしまってよいものかどうか慎重に判断しなければならない。それは、IT統制に不備がないから不正や誤謬は発生していないとストレートには判断できないことと意味は同じである。統制が有効であるということは、財務報告に関するリスクが合理的に軽減されているということが期待できるということであって、実際にどうなのかは実証テストを経て見ないと分からないし、だからこそ監査では内部統制がたとえ有効であったとしても重要な勘定に対する実証テストが省略できないのである。監査における内部統制評価の目的の原点に立ち返れば、もともとは実証テストの範囲を決定するためのリスク評価手続であることを確認しておきたい。