監査の視点から見たIT統制の実態

後編

実際に監査を行う立場であるあらた監査法人の三浦健一氏へのインタビューを通し、今後企業が進んでいくべきIT統制の方向性を見出していこうという「監査の視点から見たIT統制の実態」。後編にあたる今回は、一般的な手組みのシステムとERPパッケージの監査における相違点を中心にお話をうかがいました。ここで明確になったのは、IT全般統制をより有効に活用していくための考え方でした。

スムーズな監査の鍵を握る標準機能

企業でERPシステムを導入する際、“手組み”でオリジナルのシステムを構築するか、ERPパッケージを導入するか、という選択が最初に必要となると思います。これらは監査する側の目から見てどのような違いを持っているのでしょうか。

三浦氏：
私たち外部監査人がシステムに対して監査を行う場合、開発環境と本番環境の分離や本番環境の機密性といったアクセスコントロールについて、また、そもそも職務分離が実現できない場合、代替統制として用いるアクセスログが取得できるのかなど、IT基盤の整備状況に対する精査が必要となります。しかし、SAP ERPのようにグローバルで標準化されたパッケージであれば、監査手続を実施する上で必要な機能は用意されている場合が多く、それらの機能についてのナレッジは監査法人内で共有しているため、IT統制の有効性を効率的に評価することが可能です。これら標準で提供されている機能の活用例をご紹介しましょう。例えば、あるユーザーに対して本番環境へのリリース権限が過大に付与されていた場合、職務分離の観点では統制上のエラーになる可能性がありますが、変更履歴やログ等を閲覧することで統制上のエラーを補完することができるのです。パッケージを導入している各企業の中では、これらの変更履歴やログを取得する機能を使いこなしている方は少ないのかも知れませんが、私たちが監査を行うとき、これらの機能があることで監査手続きの選択肢が広がります。監査する側が有効に利用できる機能が標準で提供されているということは、結果として企業側の担当者が立ち会わなければならない時間も短縮されるのです。あまり知られていないことですが、これは企業にとっても非常に大きな効率アップにつながるのではないでしょうか。

監査上の利便性の他に、各企業がERPパッケージを導入すること自体にはどんなメリットがあるのでしょうか。

三浦氏：
これら変更履歴やログといった機能は、実は企業内で実施される内部監査においても、非常に有効です。私たち外部監査人が利用する仕組みは、内部統制で必須となる内部監査の効率にも直接影響を与えるポイントなのです。もう一ついえるポイントは、ERPパッケージにはすでに多くの企業での導入実績があるということです。これは今後、同じパッケージを利用している企業同士で内部統制に関する情報交換が活発に行われるようになる可能性を持っているということではないでしょうか。特にITの専門家で構成されていることが少ない内部監査室にとって、共通基盤の上で、情報交換ができるということはIT統制に対するしきい値を下げるという大きな意味を持っていると思います。

発見的統制の実現

3月のセミナーで三浦さんは「発見的統制」という表現を使われていましたが、これに対してERPパッケージはどのような役割を担うことができるのでしょうか。

三浦氏：
IT統制への対応を手組みのシステムで行う場合、ログを残す機能や監査のために利用されるレポートの出力機能に対して、積極的に投資しようとする企業は少ないでしょう。しかし、ERPパッケージではそれらの機能も具備されている場合があります。例えば、ユーザーに割り当てられている権限とその必要性を調査するためには、そもそも権限ごとにユーザーを抽出する機能を有していることが前提となります。これによって高権限が割り当てられているユーザー一覧を取得し、あるユーザーに過大な権限が割り当てられていた場合には、職務権限の範囲を超えた処理が行われていないかをログ等を使って検証します。この監査手続一つをとっても、実質2種類の機能を利用しているわけですが、これらの機能は市販のパッケージにはあらかじめ標準機能として搭載されており、これを利用することで、特に問題がなかったということも容易に立証可能なのです。こうした例は、ERPパッケージがIT全般統制におけるリスクの発見機能、いわゆる発見的統制を実現するための手がかりになるといえるでしょう。

今後を左右する鍵は“攻めのIT統制”

日本のIT統制を含めた内部統制が向かっていくべき方向性を知りたいという方も多いと思いますが、三浦さん、そしてあらた監査法人では今後どういった展開を考えていらっしゃるのでしょうか。

三浦氏：
私自身、もともとITガバナンスに対する興味がありました。しかし、これまで企業における攻めのITガバナンスという分野にはなかなか踏み込めていなかったというのが現状です。しかし、今回のIT統制は一つの側面から見れば国からのコントロールなのですが、企業が行っていくガバナンスという側面を持っているのも確かです。今は多くの企業が不安に思っているIT統制ですが、ある程度土台が固まってくれば、米国のように次の一手を考え始めることが必然となるでしょう。米国では内部統制から先の次元に進むためにICO（Internal Control Optimization：内部統制最適化）を行い、私たちもその中で攻めのIT統制に向けたアドバイザリーを行っています。今は内部統制という財務報告のリスクで終止している問題ですが、これはいずれ内部監査室の強化につながり、会社全体として不祥事の発生を抑える仕組みへと昇華していくべきなのです。私たちもこうした視点でのアドバイザリーをさらに強化していこうと考えています。

注）文中及び口頭での意見に関る個所は話し手の個人的な見解です。

三浦氏プロフィール
あらた監査法人
システム・アンド・プロセス・アシュアランス部
マネジャー　三浦健一氏

メーカーやシステムインテグレーター（SIer）でユーザーの立場でのシステム導入を経験した後、監査やガバナンスに対しての理解を深めることの必要性を感じたことから、監査の道を志す。あらた監査法人では、IT導入の現場を理解する監査人として活躍。内部統制監査義務化に向けたセミナーをはじめ、さまざまな講演にも登壇。