こんにちは、CB部（コーポレートブランディング部）のandoです。
今回はIT監査への対応について、気をつけているポイントをいくつかご紹介させていただきます。

IT監査は監査法人が実施する法定監査の一環として行われるもので、「財務報告の適正性」に関して監査法人が意見を述べることを目的として行われます。監査の範囲は１事業年度（１年）となるため、１年に複数回の監査手続が実施されますが、監査を受ける側の立場で、いくつか説明をさせていただきます

IT監査の重要性について

財務諸表の数値は、システムを通して作成されたデータを元に作成されることが多いと思います。この時、システムのプログラムにミスがあって、正確ではないデータが出力されたり、インプットされたデータが全てアウトプットされなかったりすると、正しい財務諸表の作成ができません。このため、システム処理が当初の設計通りに正確に行われていることを監査法人がチェックしています。

監査対象について

監査対象となるシステムは、財務諸表の数値に直接的、または間接的に関連するシステムです。当社のように複数のサービスを運営している場合、その全てが対象になるわけではなく、主要なサービスの中から、監査法人が監査対象とするサービスを複数選定します。
この際、監査対象となったシステムを当社が管理・運用している場合と、他社が管理、運用している場合がありますが、いづれにしても、財務諸表の数値に与える影響の大きさで、監査対象となるシステムが選定されることになります。
しかしながら、当社が管理、運用しているか否かで、監査手続は異なるため、具体的な方法を以下で説明いたします。

課金システムの正当性

当社はソーシャルゲームが主たる事業であることから、ゲームの課金に関係するシステムが財務諸表の数値に関連するシステムとして重要となるため、課金のフローやシステム処理のロジックについて、詳細に監査法人に対して説明する必要があります。また、最近はApp StoreやGoogle Playなどのアプリマーケット上で、ゲームを提供、運営することが多いのですが、各アプリマーケットの管理画面上から得られる数値の正確性を検証するために、社内で運用している課金システムから集計された数値と突合し確認する、といった手続を行うことがあります。

予防的統制と発見的統制

このように、財務報告に関係する業務はシステムに大きく依存していることから、システムが適切に利用されていること、システム自身が正確に運用されていることを統制する必要があります。これをIT統制といいますが、統制の考え方・手法には「予防的統制」「発見的統制」の２つのアプローチがあります。
「予防的統制」は事前承認制で、システム的には基本は禁止して許可されたものだけを許可するホワイトリスト方式ともいえ、「発見的統制」は、基本は許可しつつもログ等の管理を行い、事後的に問題がないかをチェック・棚卸する方式になります。
どちらの場合もシステムにアクセス可能、または制御できる個々人のアカウントが存在することが前提になります。「予防的統制」の場合は必要な申請と上長等の承認・確認が為されたというログが必要であり、「発見的統制」の場合はあらかじめシステム的に必要なログを取得できるようにし、かつそれを管理することが重要になります。

実際のシステム利用者の立場からすると、「予防的統制」のアプローチを採用したシステムは、まず申請をして承認を得る手続が必要となるため、手続が増え、煩雑となります。
逆に「発見的統制」のアプローチをとったシステムは、事前の制約が限定的であるため、利用者側の負担は軽いのですが、システム管理者の立場からすると、システムのログを適切に取得・管理するためのシステム構築・運用が必要となります。場合によりますが、システムが分散していて連携が不可能である場合、準備するコスト・手間が多く、ログの取得が実質的に困難となる場合には、「発見的統制」のアプローチを採用したくても出来ず、事前承認のためのワークフローを利用するなど、「予防的統制」のアプローチを採用することになります。
会社によりIT統制に関するポリシーや、どのようなITシステムを使用しているかが異なるため、双方のアプローチを適宜組み合わせで運用していくことになります。

発見的統制のためのログ

財務報告に必要な数値の正確性を検証するために、不正な行為、処理を検知するためのログ取得を、システム機能として用意する必要があります。例えばプログラムの変更に関して言えば、「いつ」「だれが」「どのようなソースコード追加・修正を行ったか」のログを残す必要があります。本番環境のサーバであれば「いつ」「だれが」「どのようなコマンドを実行したのか」というログを残す必要があります。

まとめ

上記のようなIT統制がなぜ必要なのか、ということを理解する上で、「外部の第三者から見たときに、組織として内部での不正検知・対応の仕組みを構築して運用できているか、ということが問われている」ということを考えると、理解がしやすいのではないかと思います。

個々人を識別して、事前または事後での不正検知のための仕組みを用意し、運用していれば、仮に不正やエラーがあったとしても、事前で防止する「予防」と事後的に検出して是正する「発見」が可能、という、システムの正確性を担保することが期待されていると考えます。

参考リンク

• システム監査とIT監査の違いって？監査のポイント教えます。
• IT統制監査の基礎知識
• J-SOX法と会社法の比較
• OSSで始めるセキュリティログ収集

■オルトプラス　CB部　ブログ　：https://cb-blog.altplus.co.jp/