元気にやっていますか?
私は相変わらず、曖昧な空白とともにふらふらする毎日です。
健体壮美なあなたのことだから大丈夫だとは思いますが、
くれぐれもお体にはお気をつけください。

2009/12/24

監査法人が行うシステム監査の現状

まるちゃんの情報セキュリティ気まぐれ日記(12月20日)のコメント欄の私の質問に対し、素晴らしい回答をいただいた。
  • 質問1(私)
会計士といったら理論整然としているのでしょうから、IT系技術の理解なんてものは得意中の得意分野なのではないかと思っていました。
だとすると現状監査業界では、丸山さんみたいな両刀使いの方はめずらしいのですか?
最近システム監査に関する本を読んでいるのですが、会計監査人とシステム監査人の住み分けみたいなものがイマイチ具体的にイメージできないでいます。
もちろんそれぞれの監査法人、それぞれの監査のケースによって異なるんでしょうけれども、そのあたりの現状と展望などを少し教えていただけると幸いです。
  • 回答1(丸山さん)
会計士って「会計」+「監査」の専門家だと思うんですけど、多くの会計士って「会計」には興味はあっても「監査」には興味が少ないのかもしれませんね。。。
「監査」がわかれば、会計監査、システム監査、環境監査といった●●●監査が理解できるようになりますね。。。●●●は監査の対象と考えればわかりやすくなります。。。
  • 質問2(私)
ご回答ありがとうございます。私の勝手な予想&イメージなのですが、監査法人で行う監査というものは、十中八九「会計監査」がメインで、システム監査というのはあくまで会計監査を成立させるためのOne ofで行うのが大半なのかなぁと。もしそうであるなら、会計士自身がシステムも見れたほうがやり易いでしょうから、時代の流れとして当然、システムを知っている会計士が多くなってきているのではないかと考えて、先のような質問をしました。つまり、純粋にシステム監査本来の意味での仕事なんてなかなかないよ、任意だし、不況だし、みたいな。
  • 回答2(丸山さん)
一般に監査と言われている業務については、
・保証・証明業務といわれる監査と
・助言業務といわれる監査
があります。
会計監査(財務諸表監査)やWebTrust監査は前者の監査(つまり、保証・証明)です。わかりやすく言えば、「お墨付き」を与える監査といえます。そういう意味では、会計監査の一環として行われているシステム監査(IT全般統制の評価といわれます)も保証・証明業務の一部となります。。
一方、第三者にシステムの健康診断をしてもらいたいような場合に行われるのが、助言業務です。いわゆるシステム監査として、事業者から発注が行われている場合は、ほとんどがこれに該当します。保証・証明業務とは違いますので「お墨付き」機能はありません。「一定の基準に従って検査・測定したら、専門家の目からみると×××の問題がありました。」と、いう報告をするものです。×××以外に問題がないのかあるのか?については、意見を言わないということになります。血液検査をして、一定の指標をみると問題はなかったが、それ以外の検査項目を追加すれば問題があるかもしれない。。。という感じです。
監査法人で行うシステム監査といわれるものは、両社ともあるのですが、会計監査の一部としてIT全般統制の評価を行っている場合が世の中的には圧倒的に多いと思います。ただ、実際に業務を行っているのは、公認会計士ではなく、システム開発経験者等の人である場合が多いのではないかと思います。
 重要なのは、最後の件。
『監査法人で行うシステム監査といわれるものは、両社ともあるのですが、会計監査の一部としてIT全般統制の評価を行っている場合が世の中的には圧倒的に多いと思います。』
つまり、監査法人でシステム監査を生業とするということは、現状こういうことなのだ。
実際に監査の現場で働いている方にこのようなコメントをいただけるのは、実に貴重だ。
丸山さん、真摯な回答、本当にありがとうござます。

0 件のコメント:

コメントを投稿