システム監査人の日記

システム監査人が監査・テクノロジーに関する情報を書き留めていきます。

内部統制の限界

内部統制が有効に機能していると、不正や不祥事が起こるリスクは減少しますが、それでも絶対に発生しないというわけではありません。以下の6つのパターンに代表されるようなケースでは、内部統制が有効に機能しません。

①不注意
担当者の不注意により、統制活動において重要な手続きを忘れてしまう場合
例)
経費精算の際に、領収書の確認漏れをしてしまい、架空の経費を計上してしまう。

②共謀
本来は相互に牽制し合うはずの担当者が共謀してしまう場合
例)
売上計上の際に、上司が内容を確かめて承認するはずが、担当者と上司が結託して架空売上を計上する。

③コスト
内部統制の構築にかかるコストがリスクよりも高く、構築を見送る場合
例)
財務数値に影響しない社内ポータルサイトのアクセスに対して、厳重な制限をかけるための多大なシステム投資を行わない。

④環境変化
環境が変化することにより、当初構築した内部統制が陳腐化する場合
例)
パスワード認証があるシステムに対して、パスワード解析ソフトを使用する。

⑤突発的な事象
通常の業務手続きとは異なるような特殊な業務を行う場合
例)
今まで受注開発ばかり行っていたIT企業が、パッケージソフトを開発し販売する。

⑥経営者による不正
経営者が内部統制の機能を意図して無効化する場合
例)
粉飾決算を行うために、経理部門の責任者に対して、財務数値の改ざんを命令する。

内部統制を構築・監査する上においては、これらの限界を理解した上で取り組むことが重要です。

統計的サンプリング

監査において、母集団が非常に多いもの(例えば毎日作成される運用チェックリスト等)に関しては、全てのサンプルをチェックすると多大な労力がかかってしまいます。そこで、母集団の中からサンプルを抽出して評価する、サンプリング手法を用いるのが一般的です。

■統計的サンプリングとは
無作為にサンプルの抽出行い、確率論の考え方を用いることで、サンプルの監査結果が母集団全体に関する結論であるとみなす手法です。

抽出したサンプルから導き出した結論が、母集団全てに対して同じ監査手続きを行って導き出した結論と異なるリスク(サンプリングリスク)を回避するために、母集団の特性に関して偏りが生じないように設定する必要があります。
例)
開発申請書が全件ファイリングされたファイルの中に、書き損じで廃棄するはずだった申請書が含まれていたり、フォーマットが大きく異なる申請書が含まれていると、それらをサンプリングした際の評価結果と、母集団の評価結果は異なる可能性が高くなります。

また、母集団全体への結論を導くので、サンプリング対象となる母集団が網羅的になっていないと、目的としていた監査対象への結論とならないことにも留意する必要があります。

統計的サンプリングに該当しないサンプリング手法は、非統計的サンプリングと呼ばれ、重要性が高い(売上金額が高額な売上明細など)サンプルを監査人の意思をもって抽出した場合、サンプリングしたもの以外への結論は導き出せません。

 

内部統制の整備と運用

内部統制の構築においては、「整備」と「運用」という2つの概念が存在します。

■整備
ルールを規程やマニュアルとして明示し、統制活動としての手続きを明確にすること。
例)
「機密情報へアクセス出来るのは許可された者のみ」というルールがなかったり、あっても周知されていなかったり、アクセスを制限する仕組みがなければ、整備されているとは言えません。

■運用
整備として明確化された手続きを、統制活動の実施者が適切に遂行すること。
例)
「機密情報へアクセス出来るのは許可された者のみ」というルールがあるものの、誰もルールを守っていなかったり、アクセス制限の仕組みが毎回動作しない状況であれば、運用されているとは言えません。

内部統制を機能させるためには、統制活動を正しく「整備」し、統制活動に関わる従業員に「運用」させる必要があります。

WAFとファイアウォールの違い

公開サーバへのセキュリティ対策として使われているWAFについて。

 

WAF(Web Application Firewall)という名前の通り、Webアプリケーション(Webサイトなど)に特化したファイアウォールになります。

ファイアウォールではパケットに含まれる送信元/送信先の情報(IPアドレスやポート番号)からしか判断できませんが、WAFではパケットの中身まで見て、有害な通信内容でないかどうかを判断します。 

 

OSI参照モデルのレイヤーで説明すると、それぞれ対応する領域は以下のようになります。

 

■WAF

第7層 - アプリケーション層

第6層 - プレゼンテーション層

第5層 - セッション層

 

第1層 - 物理層

  

ちなみにネットワーク層トランスポート層でも通信データを解析して対策するものとして次世代ファイアウォールというものも出てきています。

不正のトライアングルとは

不正が発生する際の要素として、以下の3要素(不正のトライアングル)が揃うと発生すると言われています。

 

■機会

不正を行える環境にあるかどうか。例えば、経理担当者1人が入出金管理をおこなっていたり、データベースにアクセスできるシステム管理者権限を持っている場合などが該当します。

 

■動機

不正を働くことによるメリットがあるかどうか。例えば、私生活で経済的に困っているため会社の資金を横領する、ノルマ達成のために架空の売上を計上する等が該当します。 

 

■正当化

不正に対する罪悪感を緩和するもの。例えば、お金に余裕ができたら返すから、架空売上でも会社に貢献しているから、といったものが該当します。

 

会社で不正を防止しようと思った時には、「動機」・「正当化」の観点での対策よりも「機会」の対策を行うのが一般的です。社員全員のお財布事情を把握するのは現実的ではないですし、正当化に関しては個人の価値観やモラルが強く影響するからです。

では「機会」の観点での対策とはどういったものがあるでしょうか? 上で挙げた例に対しては以下のような対策案が考えられます。

 

・担当者1人で業務が完結しないように入力者と承認者を分ける、つまり担当者が入力し、管理職が承認したものしか会計に反映されないようにする。

・システム管理者のアクセスログを定期的にチェックし、不正の兆候がないかを確認する。

 

どこまで対策するかは会社によって異なりますが、近年こういった対策が重視されている傾向にあります。

内部統制監査と財務諸表監査の違い

私が最初うまく理解できなかった内部統制監査と財務諸表監査の違いについてまとめます。

 

■2つの監査が出来た経緯

昔は財務諸表監査のみで、財務諸表の開示された数字があっていれば良いとされていました。しかし、粉飾決算の頻発を受けてJ-SOXが成立し、会社が自社の内部統制が有効に機能しているかを評価し、それを監査人がチェックすることになっています。

出された数字だけでなく、不正を働けない環境であるかどうかも見なければいけないということです。

 

■財務諸表監査

監査人が会社の財務諸表を評価するための監査です。財務諸表の数字の妥当性評価を行ううえで特定の業務プロセスに関する内部統制を評価することが考えられますが、その判断は監査人が行います。

 

■内部統制監査

 会社の内部統制が有効であるかを評価するための監査です。財務諸表への影響が大きい業務プロセスを(一定の基準に沿って)会社が判断し、監査人はその妥当性を評価します。

 

■一体監査

財務諸表監査と内部統制監査には細かな違いはあるものの、対象となる業務プロセスが重複している場合は両者を同時に評価します。これを一体監査と呼びます。

 

内部統制監査、財務諸表監査の詳細についてはまた別途まとめようと思います。