Internal controlへのIT効果 -Audit evidenceの収集に影響- USCPA
Internal controlへのIT効果
Information Technology を導入することにより、Internal control の Effectiveness と Efficiency を強化することができ、Audit evidence の収集にも大きな影響をあたえる。
○Advantage
大量の Data を Examine するとき、Manual ではどうしても時間がかかってしまう。そこで IT の Assist を使った Examine が効果的となる。
☆Verify や Assess などの Judgment は人間が行ったほうがいい。
また、Computer では Uniform transaction(画一的取引処理)が実施できるので、Manual(手作業の)で発生する Computational error(計算ミス)などの Error を排除することもできる。
Computer processing virtually eliminates the occurrence of computational error normally associated with manual processing.
☆Uniform transaction によって、Programming error は同条件の Transaction のすべてで発生する。
IT を使用した Information system により、分析手段が増え Review や Supervise の機会が増える。Information の Timeliness も Enhance。
また、とりあつかえる Data の数も増えるので Analytical procedure の機会も増える。
System が、Uncomplicated な Processes を Perform し、Detailed な Output を Produces していれば、System の Program を直接 Examine することなく Audit できる。
○Disadvantage
ペーパーレスにより、Financial data が電子化されると Audit trail(監査証跡)が減少する。そのため、Continuous に Monitoring などの Test を行わなければならない。必要ならばソフトウェアやツールを使用する。
記録が短期間しか残らない状況では、Evidence の消失を防ぐために、Test を期末に限らず一年の間に数回行う。
The timing of control and substantive tests could be difficult to determine because electronic evidence may not be retrievable after a specific period.
また、IT導入により Segregation of duty が損なわれる場合があり、System や File に Unauthorized な社員が Access しやすくなる。
○Audit trail
監査証跡。実施したデータ処理の記録。Payroll records などが含まれる。
Audit trail は、Information Technology を導入すると失いがちなので、以下のために保存しておく。
・Deterrent to fraud
・Monitoring purposes
・Query answering
Online system では、Transaction file が Destructive する Destructive update が行われることがあるので、Audit trail を Documentation しておく。
○Potential risk
便利なITだが気をつけなければならない点がいくつある。
・Data loss
・Reasonability の Judgment
・Segregation の Loss
・Unauthorized changes
・Observation の Loss
・Unauthorized access。
・Concentration of information の Security
・Application の Maintenance
・Data loss
サーバーの Disruption などにより、Data loss がおきてしまう。
・Reasonability の Judgment
適正な給与の金額の判断のような、Reasonability の判断はできない
・Unauthorized changes。
ノートパソコンのような 小型のコンピューターは持ち運びが可能であるため、Software などが修正される Weakness がある。
・Unauthorized access
Remote access ができる環境だと Risk は高まる。Control が必要。
・Concentration of information の Security
Weak だと Manual より Risk は高まる。
○Information technology specialist
Auditor は以下のようなことについて、ITの Specialist の力をかりることもある。
・Complexity な Systems
・Complexity な IT controls
・Emerging technologies
・Electronic commerce への Participation
○Utility
OSや Application の、機能向上や補助などを行う Software や Program をUtility software や Utility program とよぶ。Utility program では Computer program の Sorting や Merging を行うことができる。
Auditor は、Utility による Data files の Unauthorized change に気をくばる必要がある。Original の Source code program と Compare することで、Unauthorized change を発見することができる。
○Electronic data interchange
電子的データ取引、EDI。企業間における各種 Transaction を、専用回線で自動化する。データは電子化され、低コストかつ迅速にやりとりが行われる。Receivables の回収が早まるので Business cycle が Reduce される。
しかし、誤ってデータを送信してしまうリスクもある。
EDIでは、通常 Detective control より Preventive control が重要になる。
EDI の Building において、Standard data elements と関連している Computer system 内の Elements を Determine する Process を Mapping という。
・Audit trail
EDI の Audit trail の Elements として以下のようなものがある。
・Activity log
Failed transactions を Indicate。
・Network and sender/recipient acknowledgments
○Electronic funds transfer
電子決済、EFT。電子データのやりとりで、資金移動や決済を行う。海外送金も可能。データの Entry errors(入力エラー)も減らせる。
○Database
Data を管理する Software。
○Test of control
Computer programs が Document されている Client の Records を Examine
Control information が適切に Record しているか確認するために、Machine room の Log book を Examine
Uncomplicate な Process で Output が Produce されている Information technology systems ならば、Computer programs を Examine しなくても Audit ができる。
Highly automated な Information processing system の Test of control はとくに Require されていない。やってもやらなくてもどちらでもいい。
以下のようなことがあれば、Test of control は Omit される。
・Duplicate operative controls
・Major weaknesses
・Cost benefits
・Duplicate operative controls
ほかに、Duplicate な Control が Exist している。
・Major weaknesses
Control の Major weaknesses がすでに Appear している
・Cost benefits
金がかかりすぎる。