IT監査専門家に伝えたいこと【監査ガチ勢向け】
IT専門家は、監査チームの一員だと自著に書きました。本では一般の監査スタッフに向けてのメッセージでしたが、IT専門家に向けてもお話ししたいことがあります。
監査法人で30年強、うち17年をパートナーとして勤めた「てりたま」です。
このnoteを開いていただき、ありがとうございます。
8月24日に開催した出版記念セミナーにいただいたご質問で、まだお答えできていないものがあります。
その中に、IT専門家の方からこんなご質問がありました。
今回のてりたまnoteでは、このご質問に回答します。
👩💻IT専門家への思い
私の本『会計士監査 現場の教科書』では、「『IT専門家』という誤解」と題した節を設けて監査チームとIT専門家とのかかわりについて書いています。
本では、監査スタッフに向けて「IT専門家は監査チームメンバーである」ということ伝えています。監査チームに「企業結合会計のプロ」や「海外対応のプロ」がいることがあるように、ITに関して高度な専門性を持っているIT専門家がいるということです。
以下では、いただいたご質問を次の3つに分けてお話ししていきます。
IT専門家に期待すること
IT専門家に「ありがたい」「裏切られた」と思ったこと
IT専門家をめぐる課題
※IT専門家も監査チームメンバーだと言ったときに、IT専門家以外の監査チームメンバーを指すうまい言葉が見つかりません。仕方ないので、以下では次のように使い分けることにします。
監査チーム:IT専門家を含む監査チーム全体
監査チームメンバー:IT専門家を除く監査チームメンバー
👨💻IT専門家に期待すること
IT専門家に期待することは、まずは次のようなことです。
監査チーム内で協議し、決定したシステムやネットワークに関連するIT全般統制の有効性を期限までに評価する
監査チームメンバーが特定した内部統制やデータに関する情報処理統制の有効性を期限までに評価する
IT全般統制、情報処理統制に不備が発見された場合は、監査チームメンバーに速やかに連絡するとともに、対応策を提案する
これらは当たり前ですが、私がもう一つ期待していたのは、次のことです。
今は不備ではなくても、将来重要なリスクになる可能性のある問題や、監査先の大きな改善につながる問題に気づく
具体的にお話しすると、例えばサイバーセキュリティ。
かつては被害を受けている企業のことは耳にしてても、一般的なセキュリティ対策をやっている多くの企業にとっては他人事でした。しかし、手口が巧妙になり被害も増えるにつれて、特別な対応をせざるをえなくなっています。
もっと初期から、監査先に情報提供しておけば、より早期に対応できたかもしれません。
もう一つの例はITガバナンスです。
以前、日本企業のITガバナンスは大丈夫か、という記事を書きました。
記事の中では、日本企業の多くはITガバナンスが不十分で、世界の最先端からどんどん遅れているのではないか、と書いています。
すべての企業が最先端を目指す必要はないですが、特に弊害が大きい部分を指摘することで、監査先が他社に先駆けてリスクを軽減したり、効率化したりするきっかけを作ることができると思います。
👩💻IT専門家に「ありがたい」「裏切られた」と思ったこと
私がIT専門家に「ありがたい」と思っていたのは、次の2点です。
企業のITに関する知識が豊富
仕事をやり抜くプロフェッショナリズム
ITに詳しいのは当然ですが、IT専門家が分担している仕事をやり切ってもらえることは、とても助かります。
ときには、不備が出ても代替策を実施し、監査チームメンバーにしわ寄せがいかないようにしていただいていることもありました。
たまたま、私がIT専門家の当たりがよかったのかもしれません。
逆に「裏切られた」ことは……
一つありました。
昔々、IT専門家に業務を丸投げしていたときのことです。
当時は監査チームメンバーはITの中身に関心がなく、IT専門家が何をやっているのかを知ろうとしませんでした。
願いはただ一つ。決めた期限までに「不備なし」と言う結果が出ることです。
そんなときに「不備が出たので、IT全般統制は有効とは言えません」という結論が出てくると、がっかりするとともに、監査チームメンバーの仕事が増えるのでとても困りました。
その後、監査チームメンバーがIT専門家の業務内容を理解することが求められるようになり、「便りのないのはよい便り」とばかりに結果だけを待って、がっかりすることは少なくなったように思います。
👨💻IT専門家をめぐる課題
IT専門家に関して、問題だと思っていることがいくつかあります。
いずれも、IT専門家自身の問題ではなく、所属部門長や法人の経営陣が取り組むべきテーマです。
🔸優秀なIT専門家の確保
今やどの企業も、ITに知見を持つ人の確保に苦労しています。
優秀であれば、テック企業に高給で引き抜かれることもあります。
そんな中、監査に必要なIT専門家を採用し、働き続けてもらうことは難しくなっています。
🔸IT専門家の処遇
監査法人やグループ企業に所属するIT専門家の中には、アドバイザリー業務を中心に活躍している人も大勢います。
大型プロジェクトがとれたときなど、アドバイザリー業務の方が監査よりも花形に見えることが多いかもしれません。
そんな中で監査をがんばっている人たちが、給与や昇格などで公平に処遇されているのか。監査を続ける前提でキャリアパスは明確になっているのか。
監査パートナーも入って、継続して確認する必要があります。
🔸監査部門とIT専門家の部門との間の報酬の配分
生々しい話ですが、監査チームメンバーとIT専門家が所属している部門が異なると、監査法人の管理会計上、内部の収益の付け替えをどうするか、という問題があります。
最初に報酬を分割して、それぞれで採算管理することもあれば、タイムチャージベースでIT専門家の部門から監査部門に請求することもあります。
いずれにしても、クライアントや、ましてや投資家には何の関係もない内部の話。お互いが受け入れ可能な方法をとっとと決めて、業務に集中しないといけません。
🐣おわりに
ご質問をいただいてから日が経ってしまいましたが、セミナーで回答するよりは詳しく書けたのではと思います。
IT専門家も含めた監査チーム全体がハッピーになることを目指して、これからも発信を続けていきます。
最後までお読みいただき、ありがとうございます。
この投稿へのご意見を下のコメント欄またはX/Twitter(@teritamadozo)でいただけると幸いです。
これからもおつきあいのほど、よろしくお願いいたします。
てりたま