1.1 システム監査及びSAAJと関わりを持たれた経緯
(1)システム監査との関わりは?
24歳で会計士試験に合格した後、監査法人に入り、7年間会計監査に従事したが、その中で 『汎用監査プログラム』 を扱ううちに、コンピュータに慣れ親しんだ。
監査法人もコンサルティング業務に進出するべきだと主張し、某社の会計システムや予算編成システムの構築を受注し、開発プロジェクトの価格見積もりをしたり、プロマネ(PM)を担当した。
公認会計士という肩書きから、システムの事を知らないのではという誤解があるが、30代からシステム開発に深く関わり、主にプロマネとして開発現場経験は15年になる。
その中で、会計監査の際に情報システム側も見ないと十分な監査ができないということになり、情報システムに強い人材としてシステム側の監査を担当する事になった。ここからシステム監査に取り組みはじめた。
その当時は、「システム監査基準」などが未だない時代であったので、手探りの面もあった。基準の無い時代は、主に米国の資料などを頼りに行った。
(2)SAAJと関わりを持たれた経緯は?
システム監査の国家試験が始まる前年に、過去問題集などが無いので『情報処理試験<特種>合格者』を中心にして、事前勉強会を毎月開催した。その時のメンバーが母体となってシステム監査人協会 近畿支部(当時の名称は近畿会)ができ、初代の会長になった。
1. 2 過去に実施されたシステム監査の中で、思い出に残る事例
(1)どれくらいのシステム監査に関与されましたか?
会計監査と連携する形で、当時年10件くらい、トータルで100件~150件くらいはやったと思う。対象は主に上場会社のIT全般統制、それ以外では自治体の監査などにも関与した。
(2)その中で特に思い出に残る事例があればご紹介下さい
<例1>某社の固定資産・減価償却処理の中の「取替法」に関する処理を監査した際、プログラム・ロジックをトレースしていてミスを見つけたものの、指摘の仕方を配慮しないと過去の監査に遡って問題が生じるので、指摘方法に苦慮した。
<例2>地方自治体の監査の際、汎用機系の担当部署とサーバー系の担当部署の体質の違いに新旧文化の違いを感じた。
2.1 現在のお仕事、著作物について
(1)今のお仕事は主にどのようなものでしょうか?
関西学院大学大学院の教授と、会計士、税理士という立場のコンサル業を両立させている。
関西学院大学大学院では、アカウンティングスクール(専門職大学院経営戦略研究科)で大学院生を対象に、システム監査や会計情報システムについて指導している。コンサルは、社外取締役等の立場で、CIOの役割を担ったりシステム化委員会へのアドバイスを行っている。
(2)著作物について教えて下さい
著作物は、トーマツコンサルティンググループ時代に著しており、事務システムを解説したものである。近著「IT内部監査人 リスクに対応しマネジメントを支える役割と実務」はISACA監査基準研究会の会員で分担して著しており、IT全般統制やJ-SOX対策等、豊富な内容である。
2.2 趣味として取り組まれているもの
(1)ご趣味、特技などあれば教えて下さい
趣味は、ゴルフ、テニスだけでなく、北海道、新潟、福井のゲレンデでスキーを楽しんでいる。
読書は速読が苦手なので、多くは読まない。今は「2012年 資本主義経済 大清算の年になる」高橋 乗宣 (著), 浜 矩子 (著) を読んでいる。
3.1 今後取り組みたいと思われている事柄
(1)保証型監査はどうですか?
会計監査は元来保証型であり、保証型はシステム監査の原型である。ただ、個人としては保証型を実施した経験はないが、システム監査も保証型であらねばならないと思う。
SAAJ近畿支部の監査サービスで実施された保証型の事例は賢明なアプローチをされたと思う。
(2)クラウドに対するシステム監査の対応は?
米国のある論文で自前のシステムと同様に十分監査すべきという意見がある一方、OSと一緒だから監査は不要という両極端な意見がある。現実のあるべき姿は、クラウド業者の成熟度に応じて適切なレベルで監査を実施すべきかと思う。
今後はシステム部門だけでなくユーザ部門の対応が重要となってくる。どこまでやるかというバランスをとりながら、契約などにより適切な外部統制を効かす必要はあると思う。
(3)TPPで農業や自動車業界以外に金融業界やIT業界への影響は?システム監査の方法として米国流を押し付けられないか?
そもそもTPPはブロック経済の性格をもつため、正しいのか吟味する必要がある。米国が自国の産業を立て直すための仕掛けに加担して良いのか良く検討したほうがよい。情報サービスは既に自由貿易になっている。システム監査は当初から米国流を踏襲しているので、心配ないと思う。
3.2 システム監査の展望、SAAJの展望について
(1)これからのシステム監査について展望をお聞かせ下さい
J-SOXを通じて、上場企業のIT統制のレベルは間違いなく向上した。システム監査に関する認識は高まったが、法制化は難しいと思っている。
(2)これからのSAAJの役割や展望についてお聞かせ下さい
民間企業がシステム監査を個別発注するようになるのは望み薄だと思う。社会的責任の重いシステムを構築する時に、開発途中のキーポイントで的確な提言・指摘をしてくれるコンサルタントがいればお金を払っても良いと思う経営者は多いと思うが、システム監査人に対してこの役割を期待してもらえるかどうか疑問である。
システム監査人は内部統制をもっと勉強して、経営者の期待に応えられるようになる必要がある。
<所感>
会計監査とシステム監査の両分野にわたって、広い視点と深い洞察力で永年監査をしてこられた先生から、システム監査草分け時代の苦労話やシステム監査は保証型であるべきというご意見を拝聴でき、勉強になりました。
外部監査人として企業からシステム監査を100回以上も受託され、豊富な監査実績をお持ちの先生ですら、保証型システム監査は実施されたご経験がないとの事でしたので、前人未踏の分野として後進がチャレンジすべき領域が示されたように思いました。
最後に、お忙しい中にもかかわらず、取材にご協力いただきましたこと厚く御礼申し上げます。今後とも、宜しくご指導お願いします。
取材担当 文責:永田淳次、松井秀雄、金子力造