補習所考査対策 【ITのリスク評価の概論】② 既に211名が購入済み
確度のきわめて高い出題予想箇所と過去問で出題された箇所を太文字で明示。さらに、ただの丸暗記は苦痛なので、<理由>で深堀りして<具体例>でイメージを。これにより、理解しながら暗記することが可能に!!
Ⅲ 重要な虚偽表示リスクの識別と評価
内部統制とアサーションの関係
アサーション・レベルの重要な虚偽表示リスクを評価する過程において、監査人は、特定のアサーションにおける重要な虚偽表示の防止又は発見・是正に役立つ内部統制を識別する。内部統制は、アサーションに直接的にも間接的にも関係し得るものである。
IT全般統制は、直接にはアサーションには結び付かず、アサーションに直接結び付く情報処理統制を支援することにより、間接的に結び付くことが多い。
<理由>
IT全般統制(ITGC)は、システム全体の信頼性と安全性を確保するための統制であり、直接的に財務諸表のアサーション(正確性、完全性、網羅性など)に結びつくわけではない。しかし、IT全般統制は情報処理統制(ITAC)を支援することで、間接的にアサーションに結びつくことが多いである。以下にその理由と具体例を説明する。
理由
基盤の提供 IT全般統制は、システムの開発、変更管理、アクセス管理、運用管理など、システム全体の基盤を提供する。この基盤がしっかりしていることで、情報処理統制が効果的に機能する。
一貫性の確保 IT全般統制が有効に機能することで、システムの一貫性と信頼性が確保されます。これにより、情報処理統制が正確に実行され、財務データの正確性が保たれる。
リスクの軽減 IT全般統制は、システムの脆弱性や不正アクセスのリスクを軽減する。これにより、情報処理統制が安全に実行され、財務情報の信頼性が向上する。
<具体例>
具体例
アクセス管理 IT全般統制の一環として、システムへのアクセス権限を適切に管理することで、不正アクセスを防止する。これにより、情報処理統制が安全に実行され、財務データの正確性が保たれる。
変更管理 システムの変更管理プロセスを確立することで、システムの変更が適切に管理され、予期せぬエラーや不正な変更を防止する。これにより、情報処理統制が一貫して機能し、財務データの信頼性が向上する。
バックアップとリカバリ 定期的なデータバックアップとリカバリ手順を確立することで、データの喪失や破損を防ぐ。これにより、情報処理統制が中断されることなく実行され、財務データの完全性が保たれる。
監査人は、ITに関連した虚偽表示リスクの判断においては、金額のみだけではなく、性質を含めて当該リスクが企業に及ぼす潜在的な影響の大きさ等も考慮する。例えば、販売管理システムの場合、ITアプリケーション全体の管理者の権限は、売掛金等の特定のデータへのアクセス権を持つ担当者の権限よりも影響が大きいため、リスク評価手続においては慎重な判断を要する。
アサーションと虚偽表示リスク及び自動化された情報処理統制との関係の例示
網羅性(監査対象期間の取引種類と会計事象、期末の勘定残高の双方に関係)
※マスター・データとトランザクション・データ(取引データ)について
(1) マスター・データとは
企業内データベースなどで、業務を遂行する際の基礎情報となるデータのことである。商品の単価を管理する商品マスタ、単価マスタや、取引先の情報(企業名、住所や口座番号など)を管理する取引先マスタなどが挙げられる。
(2) トランザクション・データ(取引データ)とは
業務などに伴って発生した出来事の詳細を記録したデータのことである。得意先からの受注情報(受注データ)や、実際の出荷処理に伴う売上情報(売上データ)が挙げられる。トランザクション・データは、情報の種類によってはマスター・データを参照して作成されることがある。
情報処理統制におけるITコントロール目標
(1) ITのコントロール目標
アサーションは、財務報告の観点であるが、経営者がその情報システムを有効なものとするためにITのコントロール目標を確保していることを確かめてアサーションと関連付ける場合もある。監査人が情報システムに関する重要な虚偽表示リスクの評価のために利用できるITのコントロール目標として、例えば、次のものが挙げられる。なお、これらの目標には、アサーションと直接的に関係するものと、間接的に関係するものがあることに留意する。
➢ 準拠性:情報が会計原則、会計基準、関連する法律及び社内規則等に合致して処理されていること
➢ 網羅性:情報が漏れなくかつ重複なく記録されていること
➢ 可用性:情報が必要とされるときに利用可能であること
➢ 機密性:情報が正当な権限者以外に利用されないように保護されていること
➢ 正確性:情報が正確に記録され、提供されていること
➢ 維持継続性:必要な情報が正確に更新されかつ継続使用が可能なこと
➢ 正当性:情報が正規の承認手続を経たものであること
① 情報処理統制
・ 販売管理システムから会計システムへの売上データの転送処理が、漏れなく重複なく処理されたことを確かめることができる統制活動があること(網羅性)
・ 売上取引を入力する際に、得意先や価格をマスター・ファイルと照合する統制活動があらかじめプログラムされていること(正確性、正当性)
・販売管理システム上で職務分掌に応じた権限ごとに利用可能な機能が限定されていること(正当性)
② IT全般統制
・ プログラム変更管理体制があること(正当性、正確性)
・ ITアプリケーションの運用監視体制があること(可用性、維持継続性)
・ 販売管理システムに関する各種作業(データ修正・プログラム変更など)はシステム部門の適切な担当者のみが実施可能な体制となっていること(正当性
3.監査人のリスク評価に関連する手作業による又は自動化された内部統制の特徴
(1) 自動化/手作業の統制活動の利点と欠点
情報処理統制のデザインと業務への適用についての監査証拠を入手するためのリスク評価手続(整備状況評価)
(1) 自動化された情報処理統制の整備状況の評価手続
監査人は、自動化された情報処理統制の整備状況を評価するため、システム開発者やユーザに対してシステムに組み込まれている情報処理統制について質問し、仕様書等を閲覧する。
<理由>
①内部統制の有効性の確認
監査人は、システムに組み込まれた情報処理統制が適切に設計され、運用されているかを確認する必要がある。これにより、財務データの正確性と一貫性が保たれる。
②リスクの識別と評価
システムの設計や運用に関する情報を収集することで、潜在的なリスクを識別し、評価することができる。これにより、重要な虚偽表示リスクを軽減するための対策を講じることができる。
③ 監査証拠の収集
仕様書やシステムの設計図を閲覧することで、監査証拠を収集し、システムが意図した通りに機能していることを確認する。これにより、監査の信頼性が向上する。
<具体例>
① アクセス管理の確認
システム開発者に対して、ユーザーアクセス管理の設定について質問し、アクセス権限が適切に設定されているかを確認する。例えば、特定のユーザーが不正にデータにアクセスできないようにするための制御が設けられているかを確認する。
② 変更管理の確認
システムの変更管理プロセスについて質問し、変更が適切に記録され、承認されているかを確認する。例えば、システムのアップデートや修正が適切に管理されているかを確認する。
③ データフローの確認
仕様書やデータフロー図を閲覧し、データがどのように処理されるかを確認する。例えば、売上データがどのようにシステム内で処理され、最終的に財務諸表に反映されるかを確認する。
(2) 仕様書等を閲覧できない場合の対応
仕様書等が作成されておらず存在しない場合、又は作成されている仕様書等の記録が不完全若しくはシステム改修の記録がないなど不十分である場合、監査人は自動化された情報処理統制の整備状況の評価に仕様書等を利用することができない。
この場合、以下の対応が考えられる。
① 監査人は、ユーザマニュアル等のユーザ向け操作手順書により情報処理統制を読み取る。この場合、ユーザマニュアル等は、システム開発者が作成したものやパッケージ・ソフトウェアのベンダーから提供されたものであることが望ましい。
<理由>
ユーザマニュアル等がシステム開発者やパッケージ・ソフトウェアのベンダーから提供されたものであることが望ましい理由は以下の通りである:
① 正確性と信頼性: システム開発者やベンダーが作成したマニュアルは、システムの設計や機能に関する詳細な知識を基に作成されている。そのため、操作手順や機能の説明が正確で信頼性が高いからである。
② 最新情報の反映: ベンダーや開発者はシステムのアップデートや改修に関する最新情報を持っています。これにより、マニュアルには最新の機能や変更点が反映されている可能性が高いからである。
③ サポートの一貫性: ベンダーや開発者が提供するマニュアルは、公式なサポートやトレーニングと一貫性がある。これにより、ユーザが問題に直面した際に、サポートを受けやすくなる。
<具体例>
① ERPシステムのユーザマニュアル: ERPシステムのベンダーが提供するマニュアルには、各モジュールの操作手順や設定方法が詳細に記載されている。これにより、監査人はシステムの統制手順を理解しやすくなる。
② カスタムソフトウェアの開発者マニュアル: カスタムソフトウェアの開発者が作成したマニュアルには、特定の業務プロセスに対応した機能やカスタマイズの詳細が含まれています。これにより、監査人はシステムの特定の機能やカスタマイズの意図を把握できる。
このように、ユーザマニュアル等を利用することで、監査人は情報処理統制の評価をより正確に行うことができる。
③ 監査人は、情報処理統制となるプログラムのソースコードを利用し、その内容を確かめる。
<理由>
① 正確な理解: ソースコードはシステムの動作を直接記述しているため、仕様書やマニュアルが不完全であっても、コードを解析することでシステムの実際の動作を正確に理解できる。
② 変更履歴の確認: ソースコードにはバージョン管理システムを通じて変更履歴が記録されていることが多く、これによりシステム改修の詳細な履歴を追跡できる。
③ 潜在的なリスクの特定: ソースコードを精査することで、潜在的なセキュリティリスクやバグを発見し、情報処理統制の強化が必要な箇所を特定できる。
<具体例>
① ERPシステムのコードレビュー: 監査人がERPシステムのソースコードをレビューすることで、特定の業務プロセスに関連する自動化された統制が正しく実装されているかを確認できる。例えば、在庫管理モジュールのコードを解析して、在庫の自動更新やアラート機能が適切に動作しているかを検証する。
② カスタムソフトウェアのセキュリティ評価: カスタムソフトウェアのソースコードを精査することで、セキュリティ統制が適切に実装されているかを確認できる。例えば、ユーザ認証やデータ暗号化の実装が正しいかをコードレベルで評価する。
このように、ソースコードを利用することで、監査人は情報処理統制の評価をより深く、正確に行うことができる。
Ⅴ コンピュータ利用監査技法(CAATs)の適用
コンピュータ利用監査技法(CAATs)とは
(IT委員会研究報告第 57 号 Q31 より)
コンピュータ利用監査技法(以下 Computer-Assisted Audit Techniques の略称として「CAATs」という。)とは、コンピュータを利用して監査手続を実施する技法であり、監査手続の有効性及び効率性を改善することが可能となる。企業のITの利用度が高まると、監査で用いる取引記録や関係資料も紙ではなく電子データで保管されることが多くなる。そのため、監査手続の実施に際しても当該電子データをコンピュータに取り込み解読することになる。
(1) CAATsの利点
➢ 監査の質の改善(有効性)
母集団全体を対象とした精査による検証が可能
手作業では実施不能な検証が可能
➢ 監査効率性の促進(効率性)
処理速度が速く正確である
監査手続をプログラム化することで、定期的・継続的に実施可能
ここから先は
この記事が気に入ったらサポートをしてみませんか?