見出し画像

ないかんMeetup スピンオフ企画vol.6 IT監査

Takeshi Isobe

ないかんMeetupは「偶数月第3金曜の定例会(2022年6月時点_累計8回)」と「ゲリラ開催のスピンオフ勉強会(2022年6月末時点_累計6回)」を開催しています。そして今回は、「スピンオフ企画」vol.6の開催報告をいたします。
「スピンオフ勉強会」は、毎回専門性の高い分野について講師をお招きし、少人数による悩み相談会を実施しています。vol.6はIT監査をテーマとし、某大手コンサルティングファームのIT監査の専門家をお招きしました。

申込多数!で募集締切✂

vol.6の勉強会の告知をしたところ、あっという間に応募があり、みなさんの関心の高さに驚いた次第でした。ただ少人数でないとなかなか各社の内容に踏み込むのが難しいため、講師ご配慮を賜り、当初予定の1回の開催を2回に分けて開催していただくことになりました。(それでも参加の辞退やお断りせざるを得なかった方ごめんなさい<(_ _)>)

よりどころは何?IT監査の難しさ

まず講師より、IT全般統制、IT業務処理統制などの概要を資料を交えながら概要をご説明頂きました。その後各社の個別QAが始まりました。

出てきた質問(1回目枠)

  • 全社統制の整備を始めるのに「ひな型」を入手したが、どこから始めたらいいですか?なお、業務プロセスに関するRCMもこれからです。最近、待望の情シス担当者が入社したところです。

  • 自社制作のシステム(在庫管理)について、パッケージシステム以上に厳しめの統制が必要との指摘されたがどうしたらいいか。

  • 海外の子会社がロックオンで動かない。この場合はどうしていますか?

  • 古いやり方が多く、EXCELでの作業が多くログが残らなくて困っている。

  • 情報システム担当者を探しているが、責任者になれる人が見つからない

  • 各部門でバラバラにソフトを買っているがどう統制をとればよいか?

  • IT監査のために規程を見るにあたってのPOINTはどこか?

  • クラウドでのシステムでの証憑はどう残すか?

  • AWSでシステム開発をしている場合、SOCレポートはどのレベル感で求められるか?

  • グループウェアや自社で組んだシステムなど誰でも変えられるシステムの場合の留意点は?

  • IT監査、IT全般統制について、評価項目は変更しても良いか?必須項目があるのか?

出てきた質問(2回目枠)

  • IT監査は2021年に整備まで完了、2022年から運用を進めます。開発者と運用が同じなのでリリースされる前のモニタリングの観点で指摘されている状況です。現在の対応はアクセス権を一覧にし、特権IDはやめています。

  • IT監査をするうえで、どこからどこまでの範囲を対象とすればいいのか、どれを対象とするのか?できている、できていないの判定基準はどうするか?大枠の押さえ方、その考え方を特に知りたいです。

  • 監査役との連携について、IT監査をどう分けているのか?

  • 数か月前に入社したばかりで内部監査は兼任。コンサルと一緒にやっているが、まず何からどう手をつけたらいいかPOINTを知りたい。

  • システムで売上金額を集計しているが、毎年監査法人と同じ論点で煮詰まって困っている。

  • IT監査はやっているが、それ以前にシステムが継ぎ接ぎで将来のリスクを経営陣に理解してもらうのが難しい。なおシステム担当者は既に退職しており、事業部の責任者が兼務しているが、どうしたら理解してもらえるのか悩んでいます…。

質問に関する返答

質問に対してそれぞれに真摯にご対応いただきました。
さすがに量が多いのと、個別の状況もあるので割愛しますが、このような個別の質問に対応いただき、どちらも約60分の濃度の濃い時間になりました。

最後に

講師より総括をいただきました。

IPO準備の悩みは人材。エンジニアを採用できたとしてもIT統制が分かる人はなかなかいません。よって内部監査をするうえで、サンプリング等の監査手法について、考える必要がある。このあたりは外部監査人に聞けば教えてくれる可能性があるので、外部監査人に相談されるといいかと思います。

システム担当とどうコミュニケーションをとっているか?や監査役との連携、特にIT監査は分かりづらい分野なので、内部監査室同士で情報交換すると良いのではないでしょうか。

IT監査の難しさ

前半(1枠目)と後半(1枠目)を見比べると、かなり違う論点がディスカッションされていました。

その理由としては、講師からの統括コメントにあったように「IT監査の専門家が少ないこと」ことが挙げられると思います。エンジニアや会計の専門家はいますが、双方を融合し、さらに金商法を理解する必要があります。また、システム監査基準、情報セキュリティ対策の観点も重要です。

特にシステムの進化については時代によって早すぎたり遅すぎたりすることもある世界。最先端とされても、ジャッジする方の基準が追いついていない場合もあり、「客観的に何が基準になるか?」などの構築段階で相談できる仲間ができればと思います。

事後アンケートで、もう少し仲間と情報交換できたらなぁという感想も頂きました。この勉強会に参加頂いた方のみご案内するFacebookグループ(非公開)もありますので、そういうところで仲間となって、意見交換などに繋がればいいなと思います。(個別分科会の開催は大歓迎です)

ないかんMeetupのメルマガ・イベント参加申込

「ないかんMeetup」の繋がりを広げることで、内部監査の業界の盛り上げ(→内部監査のサイテイギ)を行うのが目標です!

事務局からのメルマガ案内を、希望する方はこちら

お問合せ先

この記事を読んで、興味を持たれたらぜひご連絡ください(大歓迎)
株式会社ネクイノ ないかんMeetup事務局 磯部、伊賀
naikan@nextinnovation-inc.co.jp  

この記事が気に入ったらサポートをしてみませんか?