« 2008年4月 | トップページ | 2008年6月 »

公認会計士は、J-SOX監査でココを聞いてくる
[気になる、「そもそも」なポイント解説]

J-SOXの実質施行によって、企業は公認会計士など外部監査人との定期的な協議が不可欠な状況になっています。定期協議において、果たすべき役割が今後大きくなるのが、実はシステム管理者。J-SOX監査用に、システム管理者が用意・提出すべき資料やデータがますます増加する傾向にあります。そこで、本シリーズでは公認会計士がJ-SOX監査で着目するポイントを分かりやすく解説しています。

さて、前回『(1)財務諸表監査の一環として、ITインフラの現状報告も必須に』のブログ掲載後、「そもそも……」という質問をたくさんいただきました。そこで、 第2回目の今回は、質問の多かった4点に関して詳しく解説することにしましょう。

[気になる、「そもそも」なポイント解説]

(1)そもそも、公認会計士が考える財務諸表監査とITインフラの関係性とは

公認会計士をはじめとした外部監査人のみなさんは、財務諸表における不正リスクの発生要因を正確に把握するために、まず第一段階として社内における全てのITインフラの現状把握を目指すと考えられます。ハードウェア、ソフトウェア、管理者と利用者、また運用管理方法など社内のITインフラの現状を把握することで、財務諸表との関係性が明確になり、発生し得る不正リスクを想定することが可能となります。また、そうした想定リスクに応じた内部統制の有効性を、客観的な視点から監査すると考えられます。

(2)そもそも、どこまでが内部統制の適用範囲となるのか

外部監査人のみなさんは、監査業務を効率的に進める目的もあり、必ず内部統制の適用範囲を検討します。その際、まず社内のITインフラを把握し、次にシステム構成の実態を把握することを目指します。企業のシステム構成に応じて、具体的に次のように適用範囲が識別されると想定されます。

  • メインフレームを中心にしたホスト系システムを利用している企業の場合、統制範囲はソフトウェアの開発、変更、運用などプログラムに関する全域が統制範囲になると考えられます。
  • クライアントサーバ型の場合、重要な業務アプリケーションを利用する全クライアント利用者を統制範囲にすると考えられます。
  • 複数の企業、複数の支店を連携させるなどWebアプリケーションを利用している場合、個別のアプリケーションの開発、変更、運用はもちろん、各社を連携させるネットワーク全体の運用・管理までを一体化させ統制範囲に設定すると考えられます。
  • EDIなど社外から自社システムにアクセスできる場合、外部における利用環境も統制範囲となる可能性があります。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。次回は、「そもそも」なポイント解説の(3)と(4)をご紹介します。

さて、 クオリティでは、J-SOX対策に即活用できる各ツールも幅広くご用意しています。詳細はクオリティテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、8つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

Banner_new_co_m

5月 28, 2008 ■公認会計士は、J-SOX監査でココを聞いてくる■ | | トラックバック (0)

公認会計士は、J-SOX監査でココを聞いてくる
財務諸表監査の一環として、ITインフラの現状報告も必須に~その2~

前回からスタートした新シリーズ「公認会計士はJ-SOX監査でココを聞いてくる」。第一回目は、財務諸表監査の一環として外部監査人から要求される報告書に関するご説明を行いました。今回は具体的な報告書の内容についてご紹介します。

公認会計士など外部監査人は、社内のITインフラの基本情報をベースに内部統制システムの整備状況等の評価計画を立案します。そのため、企業側に対してはハードウェア、ソフトウェア、ネットワークという3つの報告が要求されるでしょう。

(1)ハードウェア構成の報告

監査計画を立案するために、各フロア、また各部署で利用されているハードウェアの詳細情報を報告する必要があります。

◎コンピュータ名
◎利用者
◎設置場所
◎基本スペック
◎ローカルドライブ毎の総容量
◎ローカルドライブ毎の空き容量
◎MACアドレス
◎IPアドレス

(2)ソフトウェア構成の報告

リスク評価の重要な基本情報として、ソフトウェア構成に関しても詳細を報告する必要があります。

◎インストールされているソフトウェアの製品名
◎詳細バージョン
◎ファイル更新日
◎アプリケーションの追加と削除情報

(3)ネットワーク構成の報告

財務諸表への影響を正確に判断する目的で、ネットワークに関する情報提示も要求されると考えられます。

◎グラフィカルなネットワーク構成図
◎ポート単位でのクライアントPC接続状況

■現状の監査体制の有効性を立証するセキュリティレポート

「現行の社内システムで、ここまで有効的なリスク対策が実行されている」という点を客観的に立証できれば、外部監査の軽減につながり、最終的に監査関連コストもセーブできます。そこで、ぜひ提出をおすすめしたいのが、セキュリティレポートの定期提出です。

◎当該PCの総合セキュリティレベル
◎当該PCのセキュリティパッチ適用状況
◎当該PCの禁止ソフトウェアインストール状況
◎当該PCのソフトウェアライセンス管理

客観的なセキュリティレポートを定期的に提出することによって、自社の監査体制が有効であることを積極的にアピールしましょう。外部からの監査が軽減され、年度末の内部統制報告書の作成も円滑に進むことになります。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。

さて、 クオリティでは、J-SOX対策に即活用できる各ツールも幅広くご用意しています。詳細はクオリティテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、8つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

Banner_new_co_m

5月 21, 2008 ■公認会計士は、J-SOX監査でココを聞いてくる■ | | トラックバック (0)

公認会計士は、J-SOX監査でココを聞いてくる
財務諸表監査の一環として、ITインフラの現状報告も必須に~その1~

いよいよ本格的に動き出したJ-SOX。
今後は、導入した内部統制システムの有効性を定期監査する必要もあり、公認会計士など外部の監査人との定期的な協議が必須となります。

では、そんな公認会計士を含めた外部監査人のみなさんは、具体的にどのようなポイントに関して質問し、またどのような資料を必要とするのでしょうか。

今後、外部監査人との定期協議は、会計帳簿と財務諸表だけでは成立しないことが確実です。
今回からの新シリーズでは、そうしたポイントを具体的な対策を交えながら分かりやすく解説していきます。

第1回の今回は、財務諸表監査の一環として要求される、ITインフラの現状報告です。

[財務諸表監査の一環としてITインフラの現状報告も必須に]

■なぜ、ITインフラの現状報告が必要になるのか?

公認会計士など外部監査人は、財務諸表の虚偽表示リスクを評価するための重要な基本情報として、社内のITインフラを基本的に全て把握することが必須となります。
この基本情報をベースに、内部統制システムの整備状況と運用状況を評価する計画を立案すると考えられます。
また、ITインフラを把握することで、部署、業務、社員、PCなどに応じた監査レベルなどを設定していくことが予想されます。

具体的に、企業側にはIT資産ツールによって社内のITインフラ情報を正確に把握し、ハードウェア、ソフトウェア、ネットワークという3つの報告が要求されるでしょう。

次回はこの3つの報告について解説します。

さて、 クオリティでは、J-SOX対策に即活用できる各ツールも幅広くご用意しています。詳細はクオリティテクノロジーサイトでご確認ください。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、8つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。

Banner_new_co_m

5月 14, 2008 ■公認会計士は、J-SOX監査でココを聞いてくる■ | | トラックバック (0)