はじめに
先日中央経済社より『業務プロセスとつながる IT統制とIT監査 現場の教科書 』が発売されました。
この本は、財務諸表監査や内部統制で重要である反面、理解がしづらい分野である、IT統制とIT監査というテーマを噛み砕いて解説した書籍になります。
IT統制に関する今までの書籍はかなり難しいものでしたが、こちらの本は現場の教科書というシリーズらしく、やさしい語り口になってます。
私も業務でシステム監査やIT統制の構築支援を行っていることから、ぜひとも読まねばと思い、この本を購入しました(システム監査やIT統制構築支援のお仕事待ってます!)。
本稿では、書評という形で解説を行っていきます。
全体の内容
1章
IT搭載の目的や構築にかかる考え方から解説を行っております。
内部統制とit統制の目的からスタートして、COSO、COBIT、システム管理基準といった、 各ガイドラインについての紹介を行っております。
システム監査には様々な基準があることから、それらを押さえていくにはとても良いかなと思います。
2章
この章では、IT監査の概要について解説をしております。
IT監査の目的についてさらっと解説しているので、IT監査の全体像を押さえるのに良いパートだと思います。
3章
この章では、財務諸表監査におけるIT統制についての解説を行っております。IT統制評価の必要性、IT監査を取り巻く基準の解説、基準の用語について解説を行っております。財務諸表監査に関わる部分として、監査基準報告書315をベースに色々解説しているように思いました。
会計監査の観点では監査基準報告書315がベースになりますが、J-SOXだと内部統制基準がベースになるなど、このあたりの整理が実は難しいところです。
4章
この章では、ITACの評価について解説を行っております。評価対象ごとの評価方法についてきちんと説明してあるため、監査チームの責任者などがIT統制の検証で押さえるべきポイントをきちんと書いてあるのが素晴らしいと思いました。
ITACは会計と紐づく分野であることから、監査人が勘で判断をしやすい箇所になると思うので、何を見るべきかというポイントを言語化できてるのが素晴らしいです。
5章
本書のメインテーマであり、228ページ中の90ページもボリュームです。IT環境の理解から各プロセスまでの解説などが書かれております。
ITGCで押さえておくべきポイントについて手厚く記載がされていることから、ここを読めば財務諸表監査におけるIT全般統制のポイントを押さえることが出来るでしょう。すばらしい。
とはいえ、この辺りを読み進めるためには、システム関連の用語の定義を理解しないと難しいと思いました。前提知識としてITの基礎知識があると、この章が読みやすいかと思います。
6章
IT全社統制について書かれております。ここはさらっとしております。
7章
IT監査を行ううえの実務上の留意点が書かれております。ここも非常にさらっとしているので、4-5章をきちんと呼んだうえで、参考として読むのが良いでしょう。
感想
よかったところ
具体から抽象に入っていて、イメージがわきやすい
情報処理統制(IT業務処理統制)→IT全般統制→全社統制と、具体から抽象というプロセスで解説をしていることから、イメージのつきづらさを払拭するような構成にしていたのが良かったです。
3章では、情報処理統制に関する検討ポイントが、項目ごとによくまとまっていて、IT専門家でなくても押さえるべきことが理解できるようになっていると思います。
4章では、キーレポートの評価、自動計算の評価、コンフィグレーションの評価、ワークフローの評価、アクセス制限の評価など、押さえるべきポイントをきちんと解説しており良いかと思います。ここはITがわからないインチャージなどが押さえておくべきポイントになると思います。
ITGCについて手厚く解説を行っている
5章のITGCの解説では、書籍の4割を占めることから、著者が本当に解説したい部分だと思いました。ITGCにおける検討項目を網羅しており、それぞれのチェックポイントについても解説をしていることから、ITGCの調書のレビューポイントがわかりやすくなるかと思います。
また、SOCレポートについての解説で、各レポートごとの差異や、SOCレポートで確認をしなければならないポイントを押さえてたのはGoodです。
気になったところ
基準と監査目的の紐づけ
まず、監査目的とフレームワークの相関について解説してくれるとよかったと思います。1章で基準・2章で監査目的を解説していることから、これらを紐づけて解説をすると、業務毎に参照すべき基準が明確になってわかりやすくなるかと思います。
IT全般統制を理解するためにIT知識がいる
また、IT全般統制の解説については、前提となるシステムの知識が必要と感じました。ITGC検証のにおいてIT知識が必要になるのは致し方ないので、ここの解説が多少あると読みやすくなると思いました。
とはいえ、ITの前提知識についてまで書いてしまうと、収集がつかなくなってしまうため、ここのバランスは現実的には難しそうですね。
これを読みこなすためのIT知識は、システム監査技術者の試験勉強などで身につけることが可能です。手前味噌で恐縮ではありますが、システム監査技術者試験の合格方法についてこちらに掲載しておりますので、もしよければ参考にしてください!
まとめ
この本は、初心者がIT統制とIT監査について理解するために有用かと思います。
特にIT監査の概要を理解したいインチャージや内部統制担当者などが読むと便利なのではないかと思います。
そこから本格的に勉強をしたい人は、システム監査技術者試験を受験するなり、以下の書籍を参考にすると、より深く理解が出来ると思います(ちょっと基準が古くて、中身は本当に難しいですが・・・)。
また、合同会社オントロジーでは、システム監査及び、IT統制の構築支援を行っておりますので、IT統制でお困りの方はお問い合わせください!
