システムライフサイクル監査の監査観点

２００９年最後のエントリーです。来年も当ブログを宜しくお願いします。

システムライフサイクルの監査には以下の要点項目があります。

1. 情報戦略（経産省のみ大項目あり）
2. 企画
3. 開発
4. 運用
5. システム利用（FISCのみ大項目あり）
   
6. 保守（FISCは大項目無し）
7. 廃棄（FISCは大項目無し）

今回は、１．情報戦略 について監査観点のレベルまで「システム管理基準」（経済産業省）を参考に整理してみます。監査手続については２０１０年の課題にします。（笑）

1. 全体最適化
1. 全体最適化の方針・目標
1. ＩＴガバナンスの方針を明確にすること。
2. 情報化投資及び情報化構想の決定における原則を定めること。
3. 情報システム全体の最適化目標を経営戦略に基づいて設定すること。
4. 組織体全体の情報システムのあるべき姿を明確にすること。
5. システム化によって生ずる組織及び業務の変更の方針を明確にすること。
6. 情報セキュリティ基本方針を明確にすること。
2. 全体最適化計画の承認
1. 全体最適化計画の立案体制は、組織体の長の承認を得ること。
2. 全体最適化計画は、組織体の長の承認を得ること。
3. 全体最適化計画は、利害関係者の合意を得ること。
3. 全体最適化計画の策定
1. 全体最適化計画は、方針及び目標に基づいていること。
2. 全体最適化計画は、コンプライアンスを考慮すること。
3. 全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
4. 全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
5. 全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明確にすること。
6. 全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
7. 全体最適化計画は、外部資源の活用を考慮すること。
4. 全体最適化計画の運用
1. 全体最適化計画は、関係者に周知徹底すること。
2. 全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。
2. 組織体制
1. 情報システム化委員会
1. 全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
2. 委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
3. 委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
4. 委員会は、活動内容を組織体の長に報告すること。
5. 委員会は、意思決定を支援するための情報を組織体の長に提供すること。
2. 情報システム部門
1. 情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
2. 情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託等を考慮した体制にすること。
3. 人的資源管理の方針
1. 情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
2. 人的資源の調達及び育成の方針を明確にすること。
3. 情報化投資
1. 情報化投資計画は、経営戦略との整合性を考慮して策定すること。
2. 情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討すること。
3. 情報化投資に関する予算を適切に執行すること。
4. 情報化投資に関する投資効果の算出方法を明確にすること。
5. 情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点に対して対策を講じること。
6. 投資した費用が適正に使用されたことを確認すること。
4. 情報資産管理の方針
1. 情報資産の管理方針及び体制を明確にすること。
2. 情報資産のリスク分析を行い、その対応策を考慮すること。
3. 情報資産の効率的で有効な活用を考慮すること。
4. 情報資産の共有化による生産性向上を考慮すること。
5. 事業継続計画
1. 情報システムに関連した事業継続の方針を策定すること。
2. 事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
3. 事業継続計画は、従業員の教育訓練の方針を明確にすること。
4. 事業継続計画は、関係各部に周知徹底すること。
5. 事業継続計画は、必要に応じて見直すこと。
6. コンプライアンス
1. 法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
2. 遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
3. 情報倫理規程を定め、関係者に教育及び周知徹底すること。
4. 個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
5. 法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること

２０１０年につづく。

基板セット交換？

先週末の日曜日に修理に出したばかりのケータイが直りました。実に中１日での修理完了です。キャリアの直営店で依頼したとはいえ驚くべき早さです。
修理の明細を見ると、ヒビの入った筐体の交換に加え、なぜか、基板セットも交換されています。
修理項目には筐体不良を確認したのでケース関連部品を交換したと書いてあるのですが、付け足すように、しかも唐突に「基盤セット交換」と書かれています。理由は不明です。

とにかく、新しくなることは良いことだと思い、帰宅したのですが、車を降りる前にBluetoothのハンズフリーがつながらないことに気づきました。おそらく基板が交換された影響だと思われます。結局、再設定することで復旧しました。

いろいろありましたが、基板セット交換の効果なのか、心なしかケータイの動作が軽くなった気がします。

IT監査の要点項目

あまり明言していませんでしたが、このブログは私が実際に使うための知識の整理と記録が主な目的です。（笑）
今回からしばらくは私が課題としているIT監査について整理を進めます。

さ て、IT監査のガイドラインはいくつかありますが、ここでは「ここから始めるIT監査」（社団法人日本内部監査協会編、以下IIA）、「金融機関等のシス テム監査指針」（財団法人金融情報システムセンター、以下FISC）、「システム管理基準」（経済産業省、以下経産省）を参考に整理をしていきます。
もちろん、どれかひとつのガイドラインに従って整理することも可能ですが、各ガイドラインは要点から監査手法に至るまでの記述レベルがまちまちであるため、複数のガイドラインを総合的に整理するべきだと考えています。

まず第1回目は「IT監査の要点項目」です。IT監査の要点項目は以下の項目があります。

1. システムライフサイクル
1. 情報戦略（経産省のみ大項目あり）
   
2. 企画
3. 開発
4. 運用
5. システム利用（FISCのみ大項目あり）
   
6. 保守（FISCは大項目無し）
7. 廃棄（FISCは大項目無し）
2. 情報セキュリティ
1. 情報セキュリティマネジメント態勢
2. 建物・設備等の安全対策
3. アクセスコントロール
   
3. 事業継続管理
1. 戦略策定
2. リスク評価
3. 導入
4. 維持管理
4. ネットワーク・システム
1. 管理体制
2. 安全性
3. 耐障害性
4. 経済性
5. 外部委託（IIAは大項目無し）
   
6. ドキュメント管理（IIAは大項目無し）
   

あるガイドラインには要点の項立てが無い場合でも、チェックリスト等には織り込まれているといったケースがありますが、まずはこれらの項目を目次として、今後、整理を進めたいと思います。

頑丈なケータイにヒビ

週末なので内部監査とは関係のないお話です。

今朝、ケータイの手入れをしていてキズ（ヒビ割れ）を発見しました。
ケータイにキズはつきものですが、私の使っているケータイはGショック系の頑丈な（はずの）ケータイです。

にも関わらず、写真のように筐体（というのか？）にヒビが入っています。
おそらく機能的には大丈夫だと思いますが、しょっちゅう風呂に持ち込むので防水機能に支障がないか心配です。

安心サポートというサービスに入っているので、年末ですが、修理に出そうかなと思っています。

ケータイが破損するかも知れないというリスクに対するコントロールとしてGショックケータイを選んだのですが…

ファイブフォース分析

今日は内部監査の専門的な話題ではなく、CIA試験のPartIV「ビジネスマネジメントスキル」から産業構造の分析手法であるファイブフォース分析についてピックアップします。

ファイブフォース分析はマイケル・E・ポーター氏が提唱した競争要因モデルです。文字どおり、ビジネス上の5つの競争要因について説明しています。５つの力とは以下のとおりです。

1. 新規参入の脅威
• 新規に市場へ競合が参入する脅威のことで、参入障壁や必要資本などが影響する。
2. 代替品の脅威
• 顧客が代替品を購入する脅威のことで、切替コストや顧客のこだわりが影響する。
3. 買い手の交渉力
• 買い手が値下げ等の条件改善を迫る脅威のことで、代替品の多さや顧客の情報量が影響する。
4. 供給者の交渉力
• 供給者が値上げ等の条件改善を迫る脅威のことで、供給者の独占レベルや差別化の程度が影響する
5. 既存業界内の競争
• 業界内での競争の激しさのことで、業界の成長率や製品の差異が影響する。

図にすると…


＿＿＿＿＿＿＿＿＿＿＿＿＿新規参入する企業
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿｜
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿｜１．新規参入の脅威
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿↓

＿＿＿＿＿供給者－－－－－→ ＿競争業者＿←－－－－－買い手
＿＿４．供給者の交渉力＿＿５．既存業界内の競争＿＿３．買い手の交渉力

＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿↑
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿｜２．代替品の脅威
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿｜
＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿代替品

業界の競争構造をこのフレームワークに沿って整理すると新しい発見があるかも知れません。

データ分析ソフトウェア

月刊監査研究2009年12月号に「データ分析ソフトウェアの内部監査への活用」という海外論文が紹介されていました。
この論文はSAP社ガバナンス、リスク、コンプライアンス担当副社長Norman Marks氏が著者で、株式会社電通インターナルオーディットの中島陽紀氏（CIA）が翻訳したものです。最新のデータ分析技術を内部監査部門が活用することについて解説されています。

今回はこの論文から内部監査で使用するソフトウェアについてまとめてみます。

IIAの「2009 IT監査ベンチマーク研究」によると、内部監査で使われているソフトウェアは以下のカテゴリーがあるそうです。

1. 抽出
2. データ分析
3. 不正の発見と調査
4. 自動調書作成
5. 統制自己評価
6. コンプライアンス
7. 継続的内部監査
8. 内部監査年間計画のためのリスク評価

これに対して、著者は、以下のカテゴリーを提起しています。

1. 監査業務の管理
• 監査計画とリソース管理
• コラボレーションツール
• スタンドアロンの自動調書作成
• 不備の追跡
• リスク・コントロールの自己評価
• フローチャート化及びプロセス書類管理等
  
2. データ分析
• データ抽出及び分析
• 継続的監査
  
• リスク評価機能
• 不正発見等
  
3. 専門ツール
• 特定のIT監査業務に使われるもの

そして、データ分析について、ソフトウェアの進化により以下の３点の活用が進んでいるとのことです。

1. 技術改良により分析ソフトウェアを1回限りの分析に使うことができるようになった。（ACLやIDEA等）
2. 特にIT監査で、データ分析ソフトウェアを使用できるようになった。これらのソフトウェアソフトウェアは経営陣と内部監査部門の両者が活用できる。（Arc-Sight社やDorian Software社）
3. データの継続的モニタリングと内部統制の監査のためにデータ分析ソフトを使用することで（スポットではなく）継続的な内部監査が実施可能となる。

日本ではまだあまり見かけることがありませんが、ソフトウェアを活用した内部監査がこれから普及していく可能性は高いと思います。

内部監査を志す人？

月刊監査研究2009年12月号に「『組織運営と内部監査』2009年度4月期履修者の分析」という放送大学学務部連携教育課による分析結果が報告されていました。

2009年度から放送大学にて「組織運営と内部監査」という授業科目が設定されています。この科目は社団法人日本内部監査協会が支援しています。今回はこの分析結果をご紹介しましょう。

放送大学には全体で7万5千人超の在籍者がおり、「組織運営と内部監査」の履修者は913名いるそうです。履修者の属性の傾向は以下のとおりです。

1. 科目履修生（半年間在籍）の割合が高い
• 科目履修生（半年間在籍）以外には学士取得を目指す全科履修生と選科履修生（1年間在籍）、他大学の単位と互換する特別聴講生がいる。
• 科目履修生が履修者の27%を占める。
• 全在籍者の科目履修生の比率は8%
  
• 学士取得を目指す全科履修生が50％程度にとどまる。
• 全在籍者の学士取得を目指す全科履修生の比率は67%
2. 45歳~59歳が最も多い
• 45~59歳が履修者の40％超を占める。
• 全在籍者の45~59歳比率は28%
3. 男性が多い
• 男性が履修者の80％超を占める。
• 全在籍者の男性比率は42.5%
  
4. 会社員銀行員等が最も多い
• 会社員銀行員等が履修者の60%超を占める
• 全在籍者の会社員銀行員等の比率は18.2%

以上の結果からこの報告では、履修者は民間企業に勤め、組織の中では管理的な立場にある人ではないかと推測しています。また、この科目を履修することでCPE単位が付与されることから協会会員が多くを占めるのではないかとも推測しています。

ある意味予想されていた結論かも知れません。米国ではもう少し若い層がキャリアのひとつとして内部監査を選択する傾向があるらしいのですが。。。

監査計画

今月は来年度の監査計画を立てています。
監査計画は中長期→年度→個別の順に作成することがセオリーとされています。しかし、監査計画には標準がなく、会社により流儀が異なります。また、参考書の記載も様々なのが現状です。
そこで今回は、「内部監査人の実務ハンドブック（日本内部監査協会編）」と「金融機関等のシステム監査指針（金融情報システムセンター）」を参考に監査計画に盛り込むべき項目を整理してみました。

1. 中長期監査計画
1. 監査基本方針
• 中長期の経営計画に基づく監査方針
2. 監査対象
• 監査方針毎の監査対象
  
3. 要員計画
• 基本方針に基づく監査の要員計画
  
4. 監査人育成計画
• 監査人の能力開発計画
2. 年度監査計画
1. 年度監査方針
• 年度の監査方針
  
2. 監査対象
• 年度監査方針毎の監査対象と監査視点、被監査部門、監査担当者、監査期間
3. 要員計画
• 年度の要員計画（外部委託を含む）
  
4. 教育計画
• 年度の能力開発計画
  
5. 予算
• 年度の予算（人件費、教育費、設備費、外部委託費、旅費等）
  
3. 個別監査計画
1. 監査対象
• 監査対象とその概要
  
2. 監査種類
• 部門別or個別業務orテーマ別
  
3. 監査目的
• 当該監査の目的
  
4. 監査視点
   
• 当該監査の監査視点
  
5. 被監査部門名
• 被監査部門名とその責任者名
  
6. 監査部門（チーム）
• 監査部門の体制
  
7. 監査スケジュール
8. 前回監査の結果
9. その他特記事項

特に、監査対象と監査視点については用語の定義が参考書により違うため以下のとおり整理しています。

1. 監査対象：経営目的・法的要請・社会的要請・社内の課題を考慮して決める
2. 監査視点：有効性、合目的性、効率性、正確性、実在性、準拠性＋機密性、完全性、可溶性、信頼性

以上、監査計画に盛り込む項目を私なりに整理してみましたがいかがでしょうか？実際には監査だけではなくコンサルテーション業務も加わるため監査部門の計画≠監査計画となる点にも注意が必要です。

chumbyがやってきた

週末なので、今回は内部監査と全く関係のないお話です。

chumbyというガジェットがあります。まだ日本ではあまり有名ではないかも知れません。そして、今後も有名なるかどうかわかりません。（笑）
昨日、オフィシャルサイトで購入したchumbyが届きました。
一見、小型のテレビのような風貌のchumbyはタッチパネルの液晶を持ち無線LAN経由でインターネットに接続します。基本的に様々な情報をネット経由で取り込む仕様です。
 購入したchumbyは日本語版だったので、無線LANのセットアップはガイドに従い、簡単にできました。使用開始のためのアクティベーションにはPCが必要です。

セットアップが終了するとすぐに使うことができます。最初からいくつかのウィジェットが入っているためいろいろ表示されます。使い方の解説（チュートリアル）が用意されていますが、チュートリアルは英語の音声のみでした。
使ってみた感想は…
ネットから情報を得る端末としてはiPhoneなどのスマートフォンがブームですが、chumbyはもっと受動的（？）にネットを活用する端末という印象です。

chumbyは、ウィジェットが次々といろいろな情報を映し出していきます。
ゲームもあります。カラオケにもなります。時計にもなります。twitterもできます。天気予報もGmailも見られます。OSはLinuxで常時ONが前提です。
無理やり例えると、最近の電車の乗降口の上にある液晶の情報掲示板をイメージするとわかりやすいかも知れません。

使い方はいろいろありそうですが、とりあえず我が家では情報掲示板として飾っておこうと思います。

監査対象業務

月刊監査研究2009年11月臨時増刊号に「第53回内部監査実施状況調査結果」の解説・所見が特集されていました。

本調査は日本内部監査協会が会員および非会員の企業に対して内部監査の実施動向をアンケートしたもので、904社の動向をまとめたものです。

この調査結果から企業が監査対象としている業務の順位と監査テーマ・内容がわかります。調査結果を以下のとおり整理してみました。項番は2008年度の順位です。

1. 営業業務（→前年1位）
• 販売計画、･要員配置の妥当性、販売先与信管理の妥当性、赤字受注の判断の妥当性等
2. 全般管理・組織・制度（→前年2位）
• 稟議制度の運用状況、方針管理制度の運用状況、経営理念の浸透状況等
  
3. 経理業務（→前年3位）
• 現預金の管理状況、各種伝票・証票の管理・保管状況、各種勘定科目の残高の確認状況等
  
4. 関係会社とその管理業務（↑前年5位）
• 子会社・現地法人での内部統制の構築・有効性、子会社の各業務の直接監査、子会社の活動状況等
  
5. 総務・人事・厚生業務（↓前年4位）
• 勤怠管理の状況、給与賞与計算の妥当性、時間外勤務・長時間労働・離職率の管理状況等
  
6. 情報システム（↑前年7位）
• 情報システム投資計画の妥当性、情報システムの関連資産台帳の整備状況、システム開発要員とシステム運用要員の分離牽制の状況等
  
7. 購買業務（↓前年6位）
• 購買計画の妥当性、購買先の選定基準、与信管理の状況等
  
8. 棚卸資産管理業務（→前年8位）
• 在庫計画・在庫水準の妥当性、受払帳票の確認、棚卸資産台帳の整備状況
  
9. 固定資産管理業務（→前年9位）
• 固定資産投資計画・投資権限枠・固定資産関連人員計画等の妥当性、競合見積の実施状況、購入・リース判断の妥当性等
  
10. 外注管理業務（↑前年11位）
• 技術部門での内・外作の判断の妥当性、外注選定基準の妥当性、与信管理の状況等
  
11. 製造業務（↓前年10位）
• 生産計画の妥当性、ISO・HACCP・製造物責任法・食品安全システム（AIB）などへのコンプライアンス、産業廃棄物管理の適法性等
12. 物流業務（↑前年13位）
• 物流計画の妥当性、物流業者選定基準の妥当性、競合見積の徴収状況等
  
13. 環境管理業務（↓前年12位）
• ISO・労働安全衛生法などへのコンプライアンス、産業廃棄物処理・ごみ分別処理の適法性、取引先環境評価の状況等
  
14. 研究開発業務（→前年14位）
• 研究開発テーマ選定基準の妥当性、研究開発支出の妥当性、研究開発の進捗評価基準の妥当性等
  
15. その他
• 安全保障貿易管理の状況、デリバティブ取引の状況、従業員持株制度の運用状況等

当然ながら、会社により監査テーマは異なりますが、他社の動向を知ることで自社の監査のテーマを確認・見直しするよい機会になると思います。また、本調査は毎年実施されていますので年毎の状況変化も反映されることでしょう。監査テーマの選定に是非活用したいものです。

効果的な監査報告書の書き方

月刊監査研究2009年11月号に「効果的な監査報告書の書き方」という海外論文のCIAフォーラム関西研究会No.7による翻訳が紹介されていました。

この論文はFernando Gonzares, CIAによるもので、監査報告書を有益かつ良い評価を得られるものにするためのノウハウが書かれています。

監査報告書の作成は内部監査人にとって重要な業務です。今回はこの論文のポイントを抜粋してみます。

1. 問題点の詰め（報告書に問題点を記載する前に自問すべきこと）
1. 何がリスクなのか？
2. どのような軽減統制手段があるのか？
3. 何が起こったのか、また何が起こるはずだったのか？
4. なぜ、これが起こったのか？
5. 問題点は正式に報告するほど重大なことか？金額が重要になるのか？
6. 問題点に取り組むのに何かできることがあるか？（それは実施可能か？）
2. 強化（読み手に対して明白なインパクトを及ぼすように、問題点を再検討する）
1. 問題点をまず述べる。
2. リスクを記載する。
3. 事実を確認する。
3. 推敲（不必要な詳細さをなくし、無関係な言い回しやくどう文章を避ける）
1. 読み手が問題点を理解するのに役に立つ内容だけを加える。
2. 受動態で書くことを避ける。
3. 能動態ではとげとげしくなる場合は受動態で書く。
4. 感情的、オーバーな言い回しを避ける。（すべて、常に、決して～ない等）
4. プレゼンテーション（報告書の書式と見せ方）
1. 説得力のあるところから始める。
2. 報告書を発行する前に読む。
   

以上、若干米国式かなと思われる点はありますが、なかなか示唆に富んだ内容が盛り込まれています。今後の監査報告書作成時に心がけたいと思います。

第43回内部監査推進全国大会

月刊監査研究2009年11 月号に「第43回内部監査推進全国大会」の報告がありました。

この大会は社団法人日本内部監査協会が主催するもので、本年は9月28日（月)・29日(火)に東京・新宿の京王プラザホテルにて開催されました。報告によれば約750人の内部監査人および監査関係者が出席したとのことです。

私も出席したのでその様子を簡単にレポートしたいと思います。

【1日目 】
開会の挨拶から始まり、会長賞・青木賞の授与式等がありました。
その後、全体研究会が2件と記念講演がありましたが、残念ながら、仕事の都合で参加できませんでした。
夜は記念パーティが開催されました。かなり盛大なパーティでした。パーティでは他社の監査人の人たちとお話しできる貴重な機会となりました。

【2日目】
２日目は分科会形式の個別研究会でした。私は以下のトラックに参加しました。

1. これからの内部監査：あらた監査法人　箱田順哉氏
2. 内部監査のパワーアップを目指して：日本金銭機械株式会社　田村幸夫氏
3. 内部監査のリーディング・プラクティス：新日本監査法人の皆さん
4. 内部統制の高度化と不正リスクの管理：株式会社KPMG FAS　高岡俊文氏

それぞれ参考になる内容でしたが、特に、４番目のトラックが具体事例も豊富で非常に参考になりました。
休憩時間に、偶然、内部監査協会の幹部の方とお話しする機会があり、個人的にはありがたかったです。
別室では内部監査フェアも開催されており、内部監査に関する書籍やサービスを見ることができました。

全体の印象としては、内部監査に関係する人たちがたくさんいると感じました。そして、今後もさらに業界（？）を発展させられればいいなと思いました。

内部者取引（インサイダー取引）

月刊監査研究2009年10月号に「第二回全国上場会社内部者取引管理アンケート－調査報告書－（抜粋）」という各証券取引所によるアンケートの結果報告が紹介されていました。

内部者取引とはインサイダー取引のことで、金融商品取引法により規制されています。この報告（抜粋）では主に内部者取引に対する内部統制の整備状況のアンケート結果を30項目（質問）にわたり報告しています。

今回は、内部者取引を防止するための内部統制にはどのようなものがあるかを本アンケート結果からまとめてみます。

1. 内部者取引管理規程の整備
2. グループ会社の情報・売買管理
3. 社内情報管理体制の整備
4. 情報管理担当部署の判断能力向上
5. 情報管理の施策（例）
1. 情報に重要度区分を設定し管理する。
2. 情報の伝達可能範囲を明示する。
3. 情報伝達時に情報管理の責任者に報告する。
4. 重要情報を文書で伝達し事後検証可能にする。
5. 文書のライフサイクルのルールを設定する。
6. 情報壁を作る。
7. 伝達情報に重要事実が含まれることを相手に伝える。
8. 役職員等に注意喚起する。
9. 役職員等に守秘義務を課す。
10. 重要情報をシステム的に一元管理する。
11. 内部監査による事後検証を行う。
12. 特定プロジェクトについて重要事実になる前から管理する。
6. 代理人・派遣社員・アルバイト・外部委託先等の情報管理
7. 取引先の情報管理
8. 研修･啓発
1. 役職員向け研修
2. ポスターの掲示
3. 冊子の配布
4. ｅラーニング
9. 情報へのアクセス制限

ざっと、以上の様な統制を一般的には検討しているものと思われます。全体的な印象としてはＩＳＭＳの対応とよく似ていると感じました。

内部監査の成熟度に関するアンケート調査結果

月刊監査研究2009年9月号に「内部監査の成熟度に関するアンケート」調査結果報告というCIAフォーラムNo.4-Aの研究会報告が紹介されていました。

この調査は内部監査機能の発揮状況を38項目についてのアンケートで140社からの回答を得たものです。アンケート結果はいくつかの観点で整理され、最終的には内部監査の成熟度を表す項目の特定を試みています。

アンケート結果で私が気になった項目について雑感をコメントします。

1. 項目別には独立性や指摘・勧告への対応状況、予算や監査の網羅性の確保等の全社的な内部監査体制の整備に係る項目は平均点が高い。
• おそらくJ-SOXにより、内部監査の存在が経営者に認識されてきた。
• でも、監査法人と監査役と内部監査の違いはまだまだ認識されていないだろう。
  
2. 外部の第三者による内部監査の品質評価、継続的モニタリング/監査、監査支援ソフトの導入等比較的新しい課題の項目は平均点が低い。
• 内部監査の導入だけで手一杯で先進的な監査手法の導入はこれから。
• 米国は進んでいる（らしい）。
  
3. 業種別には金融保険の平均点が高い。
• 金融保険は、その業態上、内部監査の重要度が高い。
• 監督省庁によるチェックも厳しい。
4. 企業規模別では規模が大きいほど平均点は高い。
• 組織が大きくなればなるほど内部監査の必要性が高くなる。
• 経営者が直接見ることができない領域が増えるから。
  
5. 公認内部監査人の数が多い企業ほど平均点は高い。
• やはり、専門知識を持つ人が多いと品質も上がる。
• 公認内部監査人に対する認知ももっと広がって欲しい。
  

内 部監査は法定監査ではないため、業態や企業規模により導入の状況がまちまちです。特に、日本では監査役との違いも認識されないケースが多くあります。米国 での状況から推し量るに、日本でも近い将来、スキルとしてまたキャリアとして内部監査が認識される時代がやってくると思います。

バランス・スコアカード超簡単解説

今日は内部監査の専門的な話題ではなく、CIA試験のPartIV「ビジネスマネジメントスキル」から戦略的マネジメントのツールであるバランス・スコアカードについてピックアップします。

戦略的マネジメントのツールの主流となっているのはバランス・スコアカード（Balanced Scorecard）です。バランス・スコアカードというと一見難しそうに思えますが、最終型は以下の様なものです。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
４つの視点＿＿戦略目標（KGI）＿重要成功要因（CSF）＿重要評価指標（KPI）＿目標数値＿アクションプラン
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
財務の視点
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
顧客の視点
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
業務プロセス
の視点
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
学習と成長
の視点
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

各項目の概要は以下のとおりです。

1. 戦略目標（KGI=Key Goal Indicator)：売上拡大、問合せ対応品質の向上等
2. 重要成功要因（CSF=Critical Success Factor）：顧客単価の底上げ、回答時間の短縮等
3. 重要評価指標（KPI=Key Performance Indicator）：売上高、回答までの所要時間
4. 目標数値：KPIの目標数値：前年比10%アップ、24時間以内の回答
5. アクションプラン：具体的な実行策：セット販売、問合せデータベースの導入
6. 財務の視点：財務体質はよくなるか？
7. 顧客の視点：顧客をつかむことができるか？
8. 業務プロセスの視点：早く廉価にサービスを提供する体制か？
9. 学習と成長の視点：人材の能力は向上するか？

バランス・スコアカードを作るには以下の手順を踏みます。

1. ビジョン策定
2. SWOT分析
1. ３C分析
2. クロスSWOT分析
   
3. 戦略目標・戦略マップ策定
4. KPI設定
5. 目標値設定
6. アクションプラン策定
   

個々の手順はもっと説明が必要ですが、今回は割愛します。詳しく知りたい方には以下のWebサイトが参考になります。
http://www.itl-net.com/bsc/index.html

バランス・スコアカードの手法は組織の規模の大小に関係なく適用できます。皆が同じ目標に向かって進むためのツールとして導入してみると良いかも知れません。

6本の文化的支柱

月刊監査研究2009年8月号に「内部監査部門が成功するための6本の文化的支柱」という海外論文が紹介されていました。

こ の論文はBruce Adamec,CIA,CPA、Linda M.Leinicke,PHD,CPA、Joyce A.Ostrosky,PHD,CPAによる「6 Cultural Pillars of Successful Audit Departments」という論文を中島陽紀氏（CIA）が翻訳したものです。
今回はこの記事のポイントを私なりに抽出してみました。

内部監査部門が堅持すべき基礎的価値は以下の4つである。

1. 誠実性
2. 客観性
3. 秘密保持
4. 専門能力

基礎的価値に加えて、以下が必要である。

1. 技術的な専門性
2. 明確な基本規定
3. リスクベースの監査手法
4. 監査の専門知識
5. 交渉力や協働能力といったソフトスキル
6. 適切な技術などの正しいインフラ

真に全社的な影響力を持つ内部監査部門には以下の６つの文化的支柱がある。

1. 信頼（Trust、部門のメンバー間の信頼）
2. 感情知能（Emotional Intelligence）
1. 自己認識力（Self-awareness）
2. 自己管理能力（Self-regulation）
   
3. 自分を動機付ける能力（Motivation）
4. 共感力（Empathy）
5. 社会的スキル（Social Skills）
   
3. 達成重点主義（Performance Focus）
1. 顧客に対して
2. 株主、取締役会及び監査委員会に対して
3. 監査対象に対して
4. 内部監査部門のメンバーに対して
   
4. 勇気（Courage、あらゆる場合に正直で倫理的であり、真実を追究する）
5. サポート（Support、内部および外部の支援体制を構築する）
6. 学習の共有（Shared Learning、グループの成功と失敗を共有する）

この論文の趣旨は、利害関係者全体に配慮し、個々の能力を高めるだけではなく、内部監査部門メンバーが協力し合いながら目標を達成することが大切であるということだと思います。

システム監査普及連絡協議会「平成21年度講演会」

システム監査普及連絡協議会「平成21年度講演会」に行ってきました。

システム監査普及連絡協議会は財団法人金融情報システムセンター（FISC）が事務局となっています。FISCは「金融機関等のシステム監査指針」を発行している団体です。

今回の講演会の概要は以下のとおりです。

1. 日　時：平成21年12月9日（水） 14時00分～17時00分
2. 場　所：中央大学駿河台記念館　２階大会議室
3. 講演内容：

• 「情報システムの改善に資するシステム監査｣／ＮＴＴデータ経営研究所　情報戦略コンサルティング本部アソシエイトパートナー　早乙女真氏

• 「経営者から求められている情報システム監査」／関西アーバン銀行　監査本部　アドバイザー　良永順氏

曇り空の肌寒い中、開始30分程前に御茶ノ水の会場へ到着。講演が始まるころには会場はほぼ満席でシステム監査に対する関心の高さを感じました。内部監査協会のシステム監査部会の座長も来ていました。

冒頭にFISCの米澤理事長より挨拶がありました。FISCはISACAと3ヶ月毎に情報交換をしているそうです。

続いて、早乙女氏の講演です。氏は自身の長いSEの経験から、特にシステム開発は自由度が大きく、フレームワークを設けないと管理できないと いう考えで、開発のプロジェクトマネージャーの視点に監査の視点が加わることで経営者にとってより良い情報システムとなるという内容でした。（当初、切り 口が何の監査についてなのか理解できず、少々戸惑いました。講演後同様の質問をしている人がいてホッとしました。（笑））

15分間の休憩 を挟み、良永氏の講演です。氏は金融機関での監査経験が豊富で、監査人の目線からシステム監査を解説していました。金融検査マニュアルとシステム監査の関 係や、ご自身がいままで実施した監査とFISCの対応について解説されていました。また、現在実際に利用しているリスクアセスメントや監査計画を例にかな り具体的な説明をされていました。システム監査はシステムだけを切り出すのではなく、流れの中でシステムを捉えるべきだという言葉が印象的でした。

本日の講演を聴いて、システム監査にはフレームワークが重要であること、金融機関のようにサービスのかなりの部分がシステムに依存する業種にとってシステム監査は業務監査と限りなく近く、システムだけを分けて考えるべきではないと改めて感じました。

専門職的実施のフレームワーク

月刊監査研究2009年8月号にCIAフォーラム研究会No.24による「IIA国際基準と「金融検査マニュアル」の比較研究」という報告が紹介されていました。

これはIIA（=The Institute of Internal Auditors、内部監査人協会）が定める「専門職的実施のフレームワークと」金融庁の「金融検査マニュアル」の対応関係を解説しているものです。

今回は、専門職的実施のフレームワークについて書いてみます。

専 門職的実施のフレームワークとはThe Professional Practices Frameworkの和訳です。かなり直訳な和訳ですが、意訳も難しいかもしれません。このフレームワークは2009年1月に改訂され、正式な翻訳はまだ 完成していません。以下の目次は旧版の目次です。最新版はhttp://www.theiia.org/guidance/standards-and- guidance/にて確認できます。余談ですが、このフレームワークに関する問題はCIAの試験に必ず出されます。

内部監査の専門職的実施の国際基準（基準）

人的基準

1000－目的、権限および責任
1100－独立性と客観性

1110 ～ 1130

1200－熟達した専門職的能力および専門職としての正当な注意

1210 ～ 1230

1300－品質の保証改善プログラム

1310 ～ 1340

実施基準（Performance Standards）

2000－内部監査部門の管理

2010 ～ 2060

2100－業務の内容

2110 ～ 2130

2200－業務の計画

2201（2210が正しい？） ～ 2240

2300－業務の実施

2310 ～ 2340

2400－結果の伝達

2410 ～ 2440

2500－継続的な監視

2600－経営者のリスク許容についての問題解決

用語一覧

実践要綱（Practice Advisories）

人的基準

PA1000－1 ～ PA1330－1

実施基準（Performance Standards）

PA2000－1 ～ PA2600－1

専門職的実施のフレームワークは「基準」と「実践要綱」に分かれており、互いに項目が関連しています。（例：基準の1310＝品質プログラムの評価の実践要綱はPA1310）
専門職的実施のフレームワークをよく理解することは内部監査の国際標準を理解することにつながります。

内部監査のドキュメント

月刊監査研究2009年7月号にCIAフォーラム関西研究会No.7による「SMARTに書こう」という海外論文の翻訳が掲載されていました。

「SMARTに書こう」はBarbara L. Adams氏とAnn S. Winstead氏の「Write SMART」という内部監査報告書の書き方についての論文の和訳です。内部監査報告書は以下の点を踏まえて書くべきだと説明されています。

1. Specific（具体的）
2. Meaningful（有意義）
3. Attainable（達成可能）、
4. Result oriented（結果指向）
5. Timely（タイムリー）

今回は監査報告書に至るまでの内部監査のドキュメントについて書いてみます。

内部監査部門が作成する計画から報告書までの一連の文書には以下のようなものがあります。

1. 中長期計画書
• 中長期の事業計画を踏まえた監査計画です。
• 監査人の人員計画や能力開発計画等も記載します。
2. 年次計画書
• 中長期の監査計画を踏まえた年度の監査計画です。
• 監査対象部門や領域等も記載します。
3. 個別監査計画書
• 監査対象毎の監査計画です。
• 監査範囲や責任者、前回の監査結果等も記載します。
4. 監査手続書
• 監査ごとの具体的な監査手続を記載したものです。
• 作業担当者、実施日付等も記載します。
5. 監査調書
• 個別の監査手続や証憑類の記録です。
• 監査担当者の意見等も記載します。
6. 監査報告書
• 監査の概要と監査結果です。
• 指摘事項や改善勧告等も記載します。

これらの書類は企業の規模や内部監査の体制により、必ずしも全てを別々に作ることができるとは限りませんが、それぞれの項目が整合していることが重要です。

事業継続計画（BCP）

月刊監査研究2009年7月号に株式会社プロティビティジャパンの上原聖氏による「事業継続管理（BCM）における内部監査－事業継続マネジメントシステム（BCMS）適合性評価制度の運用を見据えて」という投稿がありました。
日本でのBCMのガイドラインの状況と英国におけるBCM認証規格「B S 25999」について解説されています。

今回はBCPについて書いてみます。

ご存知のように、BCPとはBusiness Continuity Planの略で、日本では経済産業省より「事業継続計画策定ガイドライン」が、内閣府中央防災会議より「事業継続ガイドライン第一版」が、中小企業庁より「中小企業BCP策定運用指針」が発表されています。内部監査関連では以前ご紹介したGTAG１０がBCPの解説になります。

様々なガイドラインがありますが、概ね以下のような構成になっています。

1. リスクシナリオの想定
2. ビジネスインパクトの分析（BIA）
3. 自社の重要業務の特定
4. 事業継続計画（BCP）の策定
5. 事業継続体制の構築・運用（BCM）
6. 改善

日本では特徴的に地震についてBCPが話題になりますが、米国ではテロも起こりうることとして想定されています。非常事態にならないと威力を発揮しないBCPですが、その準備は平時に行う必要があります。BCPは日常業務で頻繁に利用することがないだけに、その維持管理に果たす内部監査の役割は大きいと考えられます。

IT監査のガイドライン

月刊監査研究2009年7月号に日本セキュリティ監査協会副会長の喜入博氏の論稿「情報システムの信頼性向上のための監査の役割」が掲載されていました。

情報システムの障害の動向と経済産業省の「情報システムの信頼性向上に関するガイドライン」の概要、同ガイドラインを活用した監査について説明されています。本稿は非常に具体的な監査作業手順まで解説されているだけではなく、内閣官房の「重要インフラ各分野の安全基準等」についても解説されています。

今回はIT監査のガイドラインについて書いてみます。

IT監査（システム監査）のガイドラインは多方面から提供されています。主なガイドラインと概要は以下のとおりです。

１．COBIT
12月3日のエントリーでも紹介したITガバナンスを中心としたフレームワークです。ITと経営の関係について広く浸透しています。他のガイドラインもCOBITを参考にしていると思われるものが多くあります。
計画と組織⇒調達と導入⇒サービス提供とサポート⇒モニタリングと評価という統制サイクルで構成されています。


２． 経済産業省のシステム管理基準（含、システム監査基準）
システムのライフサイクルの監査を中心に基準が示されています。日本では最も浸透している基準と思われます。http://www.meti.go.jp/policy/it_policy/press/0005668/0/041008system.pdf
情報戦略⇒企画業務⇒開発業務⇒運用業務⇒保守業務の統制サイクルに加え、災害対策を含む
共通業務で構成されています。


３．金融機関等のシステム監査指針
金融情報システムセンターが提供するシステム監査指針です。具体的な監査手続きについてhttp://www.fisc.or.jp/publication/disp_target_detail.php?pid=188
システムのライフサイクルだけではなく情報セキュリティー等広範囲を網羅しています。チェック項目もかなり具体的です。

４．財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について
日本公認会計士協会が提供するJ-SOX向けの情報システムの監査指針です。財務報告に関わるITの監査が対象です。http://www.hp.jicpa.or.jp/specialized_field/images/00051-000043.pdf
ITに関する監査手続きの具体例にはCAAT（コンピュータ支援監査技法）についても言及されています。

上記の４つはそれぞれ重点を置いているところがフレームワークであったり、監査観点であったり、監査手法であったりしますが、共通する点も多くあります。いくつかに目を通しておくことでIT監査のポイントが見えてくるかも知れません。

ITガバナンスと監査（その３）

今回は「ITガバナンスと監査（その3）」として成熟度モデルについて書いてみます。

内部監査は統制のレベルにより監査の方法が変わるこ とを「内部監査テーマと監査手続」で触れました。統制レベルの目安として、COBITでは０～５までの６段階の成熟度モデルを提供しています。成熟度は以 下のような段階が設定されています。それぞれについ大まかな基準を付記しました。

０．不在

• 課題を管理する必要性が認識されていない。
• 事象の根本原因の特定も行われない。
  

１．初期/その場対応

• 課題を管理し、解決する手続の必要性が個人レベルで認識されている。
• 課題管理の実行責任は割り当てられていない。
  

２．再現性はあるが直感的：

• 課題を管理し、解決する手続の必要性は広く認識されている。
• 情報共有は非公式で、知識は体系化されていない。

３．定められたプロセスがある

• 課題管理を管理し、解決する手続の必要性が公式に認識され文書化されている。
• 公式な手続を使用するか否かは個人依存である。
  

４．管理され、測定可能である

• 課題を管理し、解決する手続が標準化され監視・測定可能である。
• 手続は継続的に改善されている。
  

５．最適化

• 外部のベストプラクティスと同等のレベルで管理されている。
• 手続は継続的に目標レベルまで改善される。
  

前々回紹介した吉田洋氏によれば、日本の企業は重要なプロセスの成熟度についてレベル３を当初の目標とすることが現実的だそうです。
監査は内部統制の成熟度に応じて観点・手法を変える必要があるので成熟度をよく理解することは重要だと考えられます。

ITガバナンスと監査（その２）

今回は「ITガバナンスと監査（その2）」としてGTAGについて書いてみます。

GTAGはGlobal Technology Audit Guidesの略です。GTAGはIT監査の適時なことがらがIIA(=Institute of Internal Auditors)により内部監査関係者や経営者向けに提供されているものです。ITに関する内部統制整備のポイントや監査テーマの選定に有用な内容に なっています。
2009年12月3日現在のGTAGは以下の13冊です。日本語のタイトルが付いているものは和文でのサマリー資料が日本内部監査協会のWebサイトにて入手可能です。

1. Information Technology Controls／ITコントロール
2. Change and Patch Management Controls: Critical for Organizational Success／組織の成功に不可欠な変更・パッチ管理のコントロール
3. Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment／継続的監査
4. Management of IT Auditing／IT監査のマネジメント
5. Managing and Auditing Privacy Risks／プライバシー・リスクのマネジメントと監査
6. Managing and Auditing IT Vulnerabilities ／IT脆弱性のマネジメントと監査
7. Information Technology Outsourcing／ITアウトソーシング
8. Auditing Application Controls／業務処理統制の監査
9. Identity and Access Management
10. Business Continuity Management
11. Developing the IT Audit Plan
12. Auditing IT Projects
13. Fraud Prevention and Detection in an Automated World

私は現在、CIAフォーラム※でGTAG10の翻訳のお手伝いをしていますが、GTAGは良くも悪くも米国を基準に書かれているため、単なる翻訳ではなく、日本の事情に合ったローカライズが必要だと考えています。

※CIA資格保持者の研鑽および相互交流を目的に(社)日本内部監査協会（IIA-JAPAN）の特別研究会

ITガバナンスと監査（その１）

月刊監査研究2009年6月号に吉田洋名古屋文理大学教授の巻頭論文「ＩＴ環境における内部統制・ガバナンスの動向」が掲載されていました。

企 業活動が、ＩＴ（情報技術）と密接に関連する現在、ＩＴへの対応が内部統制の有効性の判断基準のひとつとなっているという前提で、ＩＴガバナンスや監査の ガイドラインであるＣＯＢＩＴやＧＴＡＧ、ISO/IEC38500を紹介し、さらに、ＩＴ統制の成熟度について説明しています。

今回は「ITガバナンスと監査（その１）」としてCOBITについて書いてみます。

COBIT とはControl Objectives for Information and related Technologyの略です。2009年12月2日現在、Ver.4.1がISACA（=Information Systems Audit and Control Association）のWebサイトで公開されており、ダウンロード可能です。同サイトに日本語版もあります。
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/Obtain_COBIT/Obtain_COBIT.htm

COBITと他のフレームワークとの関係が日本ITガバナンス協会のWebサイトに掲載されています。（http://itgi.jp/cobit/index.html）

出典：日本ITガバナンス協会

COBITの概要は以下のとおりです。

• COBITはCOSOのフレームワークと整合したIT のコントロールのフレームワークである。
• ビジネス目標とIT 目標とを関連付け、各目標の達成度を測定するための測定基準と成熟度モデルを提供する。
• ビジネスプロセスオーナとIT プロセスオーナの責務を特定する。

上記を実現するためCOBITでは、ITについて以下のように4つのドメインと34のプロセスを設定します。

（１）計画と組織（10プロセス）

• IT戦略計画の策定
• 情報アーキテクチャの定義
• 技術指針の決定
• ITプロセスと組織及びそのかかわりの定義
• IT投資の管理
• マネジメントの意図と指針の周知
• IT人材の管理
• 品質管理
• ITリスクの評価と管理
• プロジェクト管理

（２）調達と導入（7プロセス）

• コンピュータ化対応策の明確化
• アプリケーションソフトウェアの調達と保守
• 技術インフラストラクチャの調達と保守
• 運用と利用の促進
• IT資源の調達
• 変更管理
• ソリューションおよびその変更の導入と認定

（３）サービス提供とサポート（13プロセス）

• サービスレベルの定義と管理
• サードパーティのサービスの管理
• 性能とキャパシティの管理
• 継続的なサービスの保証
• システムセキュリティの保証
• コストの補足と配賦
• 利用者の教育と研修
• サービスデスクとインシデントの管理
• 構成管理
• 問題管理
• データ管理
• 物理的環境の管理
• オペレーション管理

（４）モニタリングと評価（4プロセス）

• IT成果のモニタリングと評価
• 内部統制のモニタリングと評価
• 外部要件に対するコンプライアンスの保証
• ITガバナンスの提供

さらに、各プロセスについて以下の4点を示します。

1. プロセスの説明
2. コントロール目標
3. プロセスのインプットとアウトプット、RACI チャート※、目標、および測定指標
4. プロセスの成熟度モデル

※どの権限を誰に委任すべきか定義するチャート

IT は、ともすると、ITのみの部分最適化（例えば必要以上の高性能サーバーの導入等）やITの脆弱さ（例えばコスト削減による情報セキュリティレベルの低 下）を起こしますが、COBITのフレームワークで整理をすることで経営計画とITの整合やバランスが実現しやすくなります。

内部監査テーマと監査手続

月刊監査研究2009年5月号に「日本における内部監査への期待-内部統制整備後の内部監査のあり方」という監査法人トーマツの野坂晃史氏による特別講演の内容が紹介されていました。

ポストJ-SOXの内部監査のあり方についてのお話で、J-SOX対応に追われた内部監査部門が今後どのように本来の監査業務を進めていくべきかについて説明しています。特に、内部監査テーマの選定と監査手続の選定について大変わかりやすい内容になっています。

今回は内部監査テーマと監査手続について書いてみます。

企業の全活動を内部監査でチェックするためには、少なくとも現場管理職と同数以上の内部監査人が必要となり、非現実的です。そこで、内部監査はテーマを絞って行うことになります。優先度の絞り方は通常リスクベースで行います。
リスクを考える場合、前回のエントリーで説明したCOSOキューブが役立ちます。

まず、業務の有効性と効率性、財務報告の信頼性、関連 法規の遵守、資産の保全の4つの目的についてこれらの達成を疎外するリスクを洗い出します。

次に、洗い出したリスクを評価します。評価は影響度×発生確率で算定します。その結果、以下の様な結果が得られるので、大→中→小の優先度で対応することになります。

↑＿中＿中＿大
影
響＿小＿中＿大
度
＿＿小＿小＿中

＿＿発生確率＿→

数値化できない項目は主観的な評価になりますが、なぜその監査テーマを選んだのかわかるようにすることが重要です。監査を受ける部門は被害者意識（「なぜ我々が監査されるのか?」）を持つケースがあるので、監査テーマの決定プロセスははっきりさせることが重要です。

ちなみに、野坂晃史氏の講演では優先すべきリスクのアンケート調査結果として以下のリスクが紹介されています。

人材流出、人材獲得の困難による人材不足
製品、サービス品質のチェック体制の不備
情報漏えい
地震・風災害等、災害対策の不備
顧客対応の不備
・・・・

選んだテーマに対する監査手続は、リスクに対する対処（コントロール）の状況により異なります。野坂晃史氏の講演では以下の様な整理が紹介されています。

高
↑＿コントロールの＿＿方針・体制の
リ＿＿運用確認＿＿＿＿確認
ス
ク＿効率性の確認＿＿分析状況の
↓＿＿＿＿＿＿＿＿＿＿確認
低
＿強＿←＿＿コントロール＿＿→＿弱

以上の様に、リスクを洗い出した上で、それらに対するコントロールの強度により監査手続を決めることができます。監査計画を立てる際に役立ちそうです。

COSOキューブ

月刊監査研究2009年4月号に「COSO『内部統制システムのモニタリングに関するガイダンス』について」という、駿河大学経済学部久持英司准教授による特別寄稿がありました。

COSOの『内部統制システムのモニタリングに関するガイダンス』では内部統制の5つの基本的要素（統制環境、リスク評価、統制活動、情報と伝達、モニタリング）のひとつであるモニタリングの概念を明確にすることを意図しているものだそうです。

今回はこのCOSOの内部統制モデルについて少し書いてみます。

COSO の内部統制モデルでは、いわゆるCOSOキューブという概念を掲げ、企業の事業や活動について3つの目的（業務の有効性と効率性、財務報告の信頼性、関連 法規の遵守）を達成するために、5つの内部統制の基本的要素（統制環境、リスク評価、統制活動、情報と伝達、モニタリング）を整備するというものです。
COSOキューブは立体ですが、以下のように平面（マトリックス）で考える方が理解しやすいかも知れません。


▼事業A
＿＿＿＿＿＿＿＿＿＿＿統制環境＿リスク評価＿統制活動＿情報と伝達＿モニタリング

業務の有効性と効率性＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・

財務報告の信頼性＿＿＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・

関連法規の遵守＿＿＿＿・・・・・・・・・＿・・・・・・・・・＿・・・・・・・＿・・・・・・・・・＿・・・・・・・・・・


▼事業B

・・・・（以下同様）・・・・


内部統制の目的は比較的わかりやすいと思いますが、5つの基本的要素がわかりにくいかと思います。それぞれの具体的な内容は以下の様なものです。

1. 統制環境：経営者の方針が明確さやマニュアルの整備
2. リスク評価：目標を達成する際の不確定要素や危険性の想定と対処方法
3. 統制活動：数値の管理や職務の分離などのけん制等
4. 情報と伝達：会議や報告
5. モニタリング：進捗管理や経営者のレビューおよび監査
   

なお、日本版では目的に「資産の保全」が、内部統制の基本的要素に「ITへの対応」が加わります。

• 資産の保全：資産の取得や処分が正当な手続のもと行われること
• ITへの対応：IT化が進んでいること。

COSOキューブの概念を理解すると内部統制整備や内部監査のポイントが見えてきます。

公認内部監査人とは？

まず、公認内部監査人（CIA=Certified Internal Auditor）について簡単に解説しましょう。

公認内部監査人は企業の内部監査人の知識・技能を証明する唯一の国際資格です。
公認内部監査人試験は1999年11月より日本語での受験が可能で、試験科目は以下の4つです。（社団法人日本内部監査協会より）

PartI
ガバナンス、リスク、コントロールにおける内部監査の役割
The Internal Audit Activity's Role in Governance, Risk, and Control
PartII
内部監査の実施
Conducting the Internal Audit Engagement
PartIII
ビジネス分析と情報技術
Business Analysis and Information Technology
PartIV
ビジネス・マネジメント・スキル
Business Management Skills

公認会計士と字面は似ていますが別の資格です。公認会計士による監査は会計を軸にした外部監査ですが、公認内部監査人による監査は内部監査で企業の内部統制全般が対象です。また、監査役とも別の存在です。
実務上、内部監査人は外部監査人や監査役と連携しながら監査を行います。

「CIA tunetterの内部監査調書」始めます。

「CIA tunetterの内部監査調書」というブログを始めます。

このブログは公認内部監査人tunetterの内部監査に関する気付きメモです。個人的なメモですが、内部監査に興味のある方や企業の内部統制に関心のある方に役立つことがあるかも知れません。

基本的には、社団法人日本内部監査協会が発行する「月刊監査研究」での話題をペースメーカーにして書き進め、私が参加している研究会での話題なども可能な範囲で交えていきたいと思います。

尚、当ブログの記事は私的な見解であり、日本内部監査協会等の団体の見解ではありません。また、極力正確な記述に努めますが、不正確な内容を含む可能性があります。