アラフォーIT監査人の独り言(USCPA)

40代外資系社員のUSCPA、IT監査人の日々の日常を徒然なるままに書いてみます。

内部統制と内部監査(その3)

前回の続きで、「内部統制「と「内部監査」についての三回目です。

「財務報告に係る内部統制」でのIT全般統制と内部監査で実施するIT全般統制についての違いについて、少し説明したいと思います。

その前に、「財務報告に係る内部統制」でのIT全般統制をなぜ評価するのか、という点から説明したいと思います。

あくまでもUSSOX/JSOXにおいては、最終的な目標は、財務報告が正確かつ信頼であるかです。
会社としては、財務諸表を作成するにあたっては、その正確性を担保するために様々な内部統制を組み込んだ内部統制システムを作るわけですが、そのなかでかなりの部分がシステム統制に依拠していることになります。

最終的な連結会計や単体会計の情報システムはもちろん言うまでもありません。また、修正仕訳でもない限り、普通は仕訳データは、各システムが自動で作成し、最終的に会計システムにインターフェースします。

例えば、販売管理システムの顧客への売上・売掛金や、製造管理システムから製造原価、資産管理システムから減価償却費等の仕訳データが自動で作成されます。

当然、これらの仕訳データを作成するプログラムが正しく設定されていないと正しい仕訳データが作成されませんし、これらの情報システムから会計システムへのデータ送信が網羅的に担保されていないとデータの集計が間違ってしまいます。

ですので、IT全般統制の評価項目として、(プログラム等の)変更管理や、プログラムが保存されている本番環境への保護という観点でアクセス管理(ユーザーID管理)等がテストされます。

簡単に言うと、会計に関するデータが不正に変更されないことを目的としている訳です。

ただし、内部監査でのIT全般統制は、監査目的をどう設定するかによりますが、例えば個人情報の漏えいを主な監査要点に設定した場合は、データが不正に変更されないこともありますが、データ自体にアクセスされないことやデータが漏えいした場合のアクセス経路の特定等が主な監査手続になってきます。

例えば、同じアクセス権のテストをしていていも、SOXでは参照権限はあまり気にしなくて良いが、内部監査だと参照権限も重要になってきたりします。

また、監査の対象とするシステムも、リスク評価の観点が違うことから仕訳に関係なくても個人情報を保持しているシステムは、ハイリスクとなり監査対象となったりするのです。

長くなりますので、また次回にしますね。


内部統制と内部監査(その2)

前回記載した「内部統制「と「内部監査」についての二回目です。

前回、応募者に内部統制経験者が多いと記載しましたが、運用テストしか経験が無い人が多いとも記載しました。

それもそのはずで、この数年で新しく携わった人は、大きな業務プロセスの変更がなければ、既存のRCMのメンテか、運用テストくらいしかやることないからです。

逆に、私が監査法人に所属していた頃(2005年ごろ)だと、USSOXの海外企業導入フェーズやJSOXの導入前で、RCMばかり書いていました。クライアントにヒアリングして、その中でテストすべき統制を決め、どのように運用テストを実施するか決めていったので、その会社の業務に精通することができ、勉強になりました。

なので、かわいそうといえばかわいそうなのですが、運用テストの前に、なぜそのような統制をテストしなければいけないかの視点が抜けている人が多いのも事実です。

そもそも、ここで断りも無く記載している内部統制とは、「財務報告に係る内部統制」のことです。

内部統制が得意という人に、なぜIT全般統制を「財務報告に係る内部統制」において評価しなければいけないかと質問すると、その人がどの程度考えながら今まで仕事をしてきたかがよくわかります。

また、「財務報告に係る内部統制」でのIT全般統制と内部監査で実施するIT全般統制は似ているのですが、微妙に評価項目が違います。

そのあたりは次回に記載します。

内部統制と内部監査

内部監査(IT監査)の採用に申し込みいただく人は、

・監査法人で財務諸表監査や内部統制の評価をやっていた(IT担当)
・金融機関でIT監査、内部統制の評価をやっていた
・事業法人でIT監査をやっていた(これは少数)

というパターンが多いのですが、意外にもITベンダーやセキュリティコンサルタントというのは少ないですね。また、内部監査をやっていたという人は少ないです。

特に、USSOXやJSOXで内部統制の評価をやっていました(おそらくこの母集団が多いからでしょうが)いう方が多く、得意分野は内部統制だと説明される方が数多くいます。

ただし、少し質問してみると、内部統制の評価といっても経験は2-3年で、しかも運用の有効性のテストしかしたことがないという人が多いです。

何が言いたいかというと、IT全般統制であっても、IT業務処理統制であっても、RCM (Risk Control Matrix)で記載されているコントロールについて、前年と同じ証跡を入手して、「承認されている」ことだけを確認するテストをしているだけ。

また、なぜそのコントロール(内部統制)が必要かとの質問に答えられない人も多いのにはびっくりします。
IT全般統制やIT業務処理統制の評価でやっていることの意味を考えないまま実施していると内部監査では使い物になりません。

なぜなら、内部監査では、そもそも監査目的自体がその都度変わるからです。
書き始めたら長くなりそうなので、詳細は次回以降にしますね。

転職市場におけるUSCPAの価値

以前(4年ほど前)も、USCPAの市場価値というエントリを書きましたが、
金融機関の内部監査部門で働いていて、USCPAの価値について再考したいと思います。

USCPAを学習、もしくは既に合格された方は、この資格を使って転職等のキャリアアップを目指しておられる方も多いと思います。

私も、同じ会社に長く勤めるようになり、どちらかといえば、採用される側から採用する側になってきたのですが、職務経歴書でまず確認するのが資格欄です。

内部監査(私の場合は、システム監査(IT監査)ですが)で関連する資格といえば、

・公認内部監査人(CIA)
・公認情報システム監査人(CISA)

等の二つがメジャーで、JCPA/USCPAを保持している人はいるけれどそれほど多くないが実情ですが、CIAに比べ、会計知識の幅や深さという意味では、USCPAを持っていたほうが、評価をされると思います。

次に、過去どのような会社で、どのような実務経験や監査経験を得てきたのかを確認します。

ただ、最終的な書類審査上では金融機関の内部監査の場合は、資格というより金融機関での実務経験や監査経験が重視されますね。

久々に更新しました

4年間放置していたUSCPA受験ブログですが、たまたま過去にブログを書いていたと思い出し、更新することにしました。

タイトルとデザインも変えて、最近の出来事や現在従事している内部監査人(IT監査人)のことも少し書いてみようと思います。

自身の職歴を振り返れば、なぜいま内部監査でIT監査を担当しているか、やはりUSCPAの勉強開始が自分の人生を変えた契機であったかと思います。

・大学卒業後、外資系の事業会社に就職。約10年の勤務中に、支店での営業、本社で営業企画、基幹システムの統合プロジェクト、SAPの導入等を経験。

・SAPの導入時に、会計とITの知識がないと会社のプロセスが理解できないと思い、USCPAの受験勉強を開始。

・その後、私的な事情で退職し、プータローをしながら、USCPAの受験勉強を半年ほど。

・ITコンサルタントへの就職を目指して転職活動を実施し、SOXバブルということもにあり、USCPA勉強中ということもプラスに働き、監査法人系のコンサル会社に転職。

・同社では、主に金融機関向けのSOX業務や、内部監査のサポートを実施。(USCPAはここで合格)

・2年半後に、今の金融機関に転職。内部監査人としてIT監査を担当。現在に至る。

ほんと、人生は良くわからないものですね。
Access
livedoor プロフィール
Recent Comments
  • ライブドアブログ