EDPシステム監査方法論について
−M.R.モL−アの所説を手がかりとして一
森 実 Ⅰ∴はじめに。ⅠⅠ.システム・アプローチの基本的前提。ⅠⅠⅠ…内部統。制の評定。 ⅠⅤ.プログラムのタスチング。Ⅴ.EDPシ/ステム紅もとづく財務諸表監査の 方法論。ⅤⅠ‖むすび。 I EDPシステムが企業の会計組織に導入されたとき,財務諸表監査を担当す る監査人は,EDPシステムに・よって,監査人がこれまで取り扱ってきたもの とほまったぐ陸質を異にする領域の問題に直面させられることに.なった。そこ で,手記的システムに.基づいた会計監査の方法は大きく動顎した。たとえば, EDPシ′ステムの高度の信頼性に日を奪われたものにとって:は,それほ,監査 の無用論を招来するように・さえ思われた。しかし,その後の企業のEDPシス テムの普及とともに■,EDPシステムのもとにおいても新しい形の不正が可能 であることが,多くの事例によって.明らかにせられ,EDPシステムでは,ま だまだ人間的要素が含まれており,当然に監査が必要であることが認識された のである。1) また,他方において,EDPシステムの電子工学的機構およびそれをほたら かせる技術の複雑性ほ,それらについての知識および経験を有しない会計士に とっては,十分な監査を行なうことが不可能のように・思われ,無力感を抱かせ さえした。これについても,その後の実務においてニ,EDPレステ∵ムに対する ため紅監査方法にユ夫を加えることによって,これまでと同じように.,あるい はこれまでよりも有効に・監査を行なうことが可能であることが分かって−きたの1)D.RりCarmichael,“Fraudin EDP Systems”,The[nternalAuditor,May/June
J96.9 EDPシ‘ステムの監査方法論について −69Ⅶ一 である。 このような監査人の動揺の根本原因は,基本的にほ,監査紅必要な監査証跡 が,これまでとは大きく変化したということである。すなわち,証憑書類,仕 訳帳,元帳および精算表などは,これまでは,監査人が目で見て,それによっ て監査できる形になっていたのが,EDPシステムの会計組織への導入が高度 化するに伴って,それらのものが省略されることが多くなり,まセ,機械でし か判読できない形のものにおきかえ.られることが多くなってきたのである。2) これまで,このような監査証跡の変化に・対する監査方法論の展開としては,・山 般に,伝統的な監査方法に周執する「コンビュ一夕周辺監査」から新しい監査 方法としての「■コンビ.ユー・タ処理監査」への展開としてとらえられている。後 者は,EDPシ′ステムの処理に監査の焦点をあてるものであるが,この監査方 法がすすんでくれば,当然に.監査の実施のため軋コンピュータを利用するため の各種の方法が研究されるようになる。ところが見方紅よれば,さらに,「コ ンビュ一夕処理監査」から「’コンビ.ユ∴一夕利用監査」への発展をとくこともで きるのであるが,3)われわれは,「コンビュー・タ利用監査」は「コンピュータ 処理監査」の内部での発展であり,それと別個のものではないと考え.る。すな わち,EDPシステムの処理を監査するためには,EDPシ′ステムの統制が有 効にはたらいているかどうかを確かめることおよぴEDPシステムの処理の監 査に必要な情報を入手することが必要であり,どちらのばあいにも,コンピュ ータを利用することが有用であるからである。 本稿でほ,このように次第紅本格化していくEDPシステムの監査の方法論 について,その1つのタイプを示すものとして,モ−アの見解を紹介し,4)今 後のEDPシステムの監査方法論の展開の動向を展望する。 2).L:F.Antonio,丁カβ 打sβノαJ〝β5・S‘け■侮“A撼揖 二わ■α∠J”ごよ〝 且Jβ‘わⅥ扁−c加f〃 凸竹紙料〝g5.γSね研ゞり 拙稿「EDPSと監査証跡について−アントニオの所説を中心 にして−−」,『企業会計』,昭和44年12月号。 3)ポ・一夕・一著伏見章・前川貞博訳「EDPシステム監査」訳者序文2ぺ−ジ。
4)MichaelRい Moore,“EDP Audits:A Systems Approach”,TheInteYnalAud・ itor,May/June1969,pp”9∼25
香川大学経済学部 研究年報 9 J969
−70−
ⅠⅠ モ−アは,経営者も監査人も,有効かつ能率的な内部統制組織の立案という ことにおいては,かれらの基本的目的は矛盾しないという前提をおき,このよ うな前提のもとにおいては,システム・アプローチがもっとも適当な監査方法 であり,将来におけるEDPシ′ステムの監査に.おいてほ,EDPシ′ステムの設 計の健全性および機能の評定を中心とするシステム・アプローチのみになると 主張している。 EDPシ′ステムに関して経営者と監査人の目的が本質的に矛盾しないという 箋本的前提を,モーアほ,つぎの3つの事項によって示している0 1)健全な経常のために必要な情報および統制目的と健全な監査のため紅必要 な情報および統制目的との間に・ほ本質的な矛眉ほない0もちろん,経営の統 制目的は監査のそれよりも広いし,また,経営紅必要な情報は監査に・必要な 情報よりも詳細であるので,両者は相違するが,それでも矛盾しないのであ る◇ 2)経営目的によって設計され,かつ実施されているEDPシステムは,監査 人の監査の重要な対象であり,かつまた,監査人に必要な情報を提供すると いう点で有用である。3)貧弱な設計の,あるいは下手に実施されているEDPミ/ステムは,経営目
的に適合しないばかりでなく,監査人にとっても役立たないし,さらに重大 な問題を起こしさえする。 このような基本的前線は,EDPシ/ステムの監査法方論に対するモ−アの考 え.方をしる上に重要であるので,モ−アの説明をより詳細に見ていこう。 まず第1の前提であるが,モー・アは,経営目的と監査目的との関連につい て,1つの−・般に認められた事実から出発している0すなわち,それほ・,コン ピュータは,経営者が利用することのできる非常に強力な情報処理手段であ り,かつ経営のプロセス一計画,監視,統制】−」こおいて重要な役割をはた すことができるということである。 そして,企業におけるEDPシステムの典型的機能として,つぎのようなも のをあげている。EDPシステムの監査方法論についで − ㌻J一 1)経営者の意恩決定をたすけるよう紅情報検索的な形で資料を収集し,貯蔵 すること。 2)業務計画,統制組織および予算を作成するのを助けるように歴史的かつ仮 定的資料を処理すること。 3)資料を選択し,収集し,かつ分析して,企業の経営者に有用な行動指導的 な表現で必要な要約的情報を報告すること。 4)取引を拒絶し,エラー状況を合図し,行動命令を発することによって:統制 活動をはじめること。 このように,すぐれたEDPシ′ステムは,統制紅必要な多くの情報を提供す る。しかし,すぐれた統制組織ほ多くの要素の相互作用を伴うものであって, EDPシ/ステム牲,そのなかの重要な要素の1つであるにすぎない。けれど も,統制が完全かつ有効紅はたらくために.は,十分な情報処理システムがなけ ればならないのである。このようなEDPシ′ステムの統制組織との関連から, EDPシ′ステムの監査をすすめていけば,監査機能は,本質的にほ,EDPシ′ ステムがいかに・上手紅利用されているかを考慮する必要はないけれども,監査 人は,レスチームの能率を改善するような建設的勧告を行なうことができるので ある。 つぎに,第2の基本的前提紅ついてであるが,EDPシ′ステムについての監 査人の関心は,諸統制の評定以上におよぷものである。すなわら,EDPシ′ス テムほ,監査人が必要とする情報の入手源としても役立つのである。しかし, この場合に,経営者の必要とする情報は,監査人の必要とするものよりもずっ と詳細なものであることは.当然である。 欝3の基本的前提ほ,貧弱なEDPシステムは,経営者紅役立たないと同時 に,監査人にも役立たないということである。すなわら,貧弱なEDPシステ ムほ,情報および経営目的のために役立たないばかりでなく,逆紅経営者を誤 らせさえする。このようなEDPシステムは,監査人紅とって−も,有用性の限 られたものであるとして,モ−アほ,つぎのような点をあげて)、る。 1)監査人は,経営者と同じように,必要な統制または情報をEDPシステム に依存する。 2)監査人は,内部統制組織の評定紅もとづいて監査手続を選択する。内部統
香川大学経済学部 研究年報 9 ー 72一 J969 制組織に重大な欠陥があった場合にほ,監査人ほ,監査手続を拡張しなけれ ばならない。この結果として,監査人ほ,EDPシステムの監査を拡張し, ひいて−は,貸借対腰表および損益計算書の分析を拡張するであろう。 3)貧弱なEDPシ′ステムの場合には,監査人は,そこから何もうることがで きない。 これまでのモーアの基本的見解を簡単に.まとめておこう。そのため紅,モ ーアが考える統制組縛と情報組織との関係およびそれに対する経営者と監査 人の関心を,つぎのよう紅図示してこみよ.う。 情報組織 統制組織 経常組織 第 2 図 欝3 図 第1図 EDPシ′ステムに.おいては,第1図のように情報組織ほ統制組織の1部分と して包含される。この場合に,情報組織は統制組織と密接に結合し,両者は, また,相互作用的関係紅ある。つぎに・,第2図のように,EDPシ/ステム紅お ける情報組職が経営目的のものであっても,監査人は,そこから多くの情報を 入手することができる。さらに,欝3医lのように,経営目的の統制は,監査人 が関心をもつ統制が含まれるのである。 このように,EDPシ′ステムにおいてほ,情報組織と統制組織が密接な関連 をもっているので,監査に・おいてシステム・アプローチが有用な方法として主 張される。そこで牲,経営者も監査人も,ともに,内容の発こ・そ・あれ,有効か つ能率的な統制および情報組織を必要としているのである。 モ・−アは,このような意味から,EDPシステムの改善についての勧告とい う建設的役割を重視しているが,監査機能とは明確紅区別されるぺきであろ う。このような見解がでてくるのほ,モーア自身が,マネージメント・サ−ビ
EDPシ′ステムの監査方法論紅ついて ー・7β一 ス業務の経験をもって−いたことにも原因があるであろう。また,別の見方をす れば,システム・アプローチをすすめていくと,財務諸表監査において−もED Pシ/ステム自体の監査に重点がおかれるが,システムの批判に監査の目的が変 化すれは,システムの指導も重要になるであろう。しかし,このようになれば それは財務諸表監査とほ別の監査に移行してしまう。アントニカ・も,また,シ ステム監査への移行を疑問視している。すなわち,信頼的な情報システムは, 必ずしも正確な情報を作成しないし,また,人的要素を含む複雑なシステムの 信頼性が実際紅決定できるかは疑問であり,さら紅,監査の目的は情報システ ム自体の信瀞性でほなくて,特定の情報の正確性であるからである。き) モーアは,EDPシステムの有効かつ能率的な利用と健全な内部統制とが密 接に関連しているということ紅基づいて,システム・アプローチを主張する。 システム・アブロ−チほ,つぎの3つの要素を含むとする。 1)監査手続を,経営者のEDPシ′ステムの利用の有効性の評定へ向ける。 2)監査手続を,EDPシステムが実際に・どのように機能し,組織され,かつ能 率的に統制されているかを確かめることに向ける。 3)監査目的および監査手続のためにEDPシステムの強力な能力を利用する こと。すなわち,(1)データの選択,(2)比較,(3)分析,(4)要約,(5)報告およぴ その他の事務的機能のために,EDPシステムを利用する。モーーアは,これ らの基本的要素に関連して,監査人が, つねに・取り上げる問題として,つぎ の3つをあげている。 1)豆DPシステムが,適正紅設計され,組織されているか。 2)何が重要な統制であり,どのような欠点があるか,そして,それらをどの ようにして調査すべきか。 3)EDPシステムにはどのような情報が存在し,監査に.利用できるか。 これまでのモ−アのシステム・アブロ−チの主張によれば,EI)Pシステム の設計,組織および実施の有効性の評定が目的とされ,それほEDPシステム に関する統制と情報との2つの面に分けて評定されるのである。しかし,モー アは,EDPシ′ステムにおける情報を監査人がどのように利用するかという 5)J”FIAntonio,OPlCitリppl291∼292”前掲拙稿21ぺ−t7。
香川大学経済学部 研究年報 9 − ア孝 一 J969 問題ほ.展開せず,統制の問題に限定して議論をすすめている。 ⅠⅠⅠ モーアも指摘するように.,内部統制の原則自体は,情報処理システムの如何 によって相違するものでほない。・−・般に健全な内部統制の原則に基づくものと きれている健全な組織構造,職務の分割および決定,資産の会計責任と保管との 分離,継続的内部監査などは,情報処理システムが手作菓であろうと自動化さ れていようと,同じように適用される。このような有効な統制を能率的かつ経 済的に設定するには,最初のシステム設計において含ませておくことが必要で ある。 モ−・アほ,EDPシステムの評定の主要な領域として,(1)組織,(2げログラ ミ.ング,(3)オぺレーション,(4レ、−ド・ウェアおよびソフト・ウェアの4つを あげている。以下,モ−アの見解を紹介して,その特徴をさぐっていくことに しよう。 (1)組織 組織は統制の出発点であり,強力かつ十分に定められた組敵および有能な職 員よりも重要な統制領域はない。健全な組織から健全なシステム設計,有効な オペ=/−−ション手続および有効紅統制されたハード・ウェアおよびソフトウエ アがあらわれる。 モ−アによれば,EDPシステムの組織ほ,最高経営者への報告の情報管理 機能に集中する。集中化の理由ほ,1つは規模の経済性であり,もう1つは, 統合的システム設計に必要な責任と権限を与えることである。 この情報管理組織に必要な要素として,つぎのようなものがあげられる。 1)独立性 情報管理組織ほ.,独立のサ−ビス機関と同じような方法で,情報システムの 設計,実施および処理を行ない,嘩独の利用者(たとえば,会計,技術など) 紅よって占有されてはならない。また,情報管理組織は,会社資産の保管の貴 任をもつべきでほない。 2)明確に.定められた権限および責任
EDPシ′ステ■ムの監査方法論紅ついて − 75− 権限および着任の系列は,会社の他の機能との関連紅おいてこも,情報管理組織 内部に.おいても明確に定められなければならない。この場合に.,権限および 茸任を文書にすることは独立.性を確保するのに有用である。 3)システム設計の責任 利用者のためを考え.てシステムを作成する責任を課せば,必要な情報の様 式,内容およびその緊急性を決定する場合に1一分に考慮され,プログラミング の便宜のために.システムの賀が妥協されることが少なくなる。 4)プログラミングの責任 プログラミングほ,EDPシステムを能率的に利用し,かつ適切に統制する 技術的な問題であるので,プログラミング担当者ほ,EDPシステムの能力の 最大限の利用と健全かつ継続的なドキュ..メンターションの維持の責任を負わね ばならない。 5)オぺレーション・コントロ−ルの責任 EDPシ′ステムの日常的オぺV−Vヨソについて:は,EDP部門内部に率い ても,EDP部門と利用者との間においても統制が必要である。データ・ファ イルとプログラムの保管の責任とEDPのオぺレーションの責任とは分けて課 さなければならない。 6)オぺレーションの貴任 EDPのオぺレーションほ,スケクエールと期限の点から,利用できる時間 を最大限に利用するために,仕事のスケジュ−ルをたて,準備し,実行しなけ ればならない。したがって,オぺレ一夕−が,仕事を行なう場合紅,ほとんど判 断することが必要とされないよう紅,非常に統一劇かつ詳細な指示を与えてお くことが必要である。 (2)プログラミング プログラミングほ,監査人が,これまでは取り扱ったことのない問題である ので,これを監査するため紅ほ,監査人の能力を若干拡張することが必要であ る。モ−アほ,監査人の関心のあるプログラム・コントロールの3つの面とし て,(1げログラム・ドキュ.メンテージョンおよび基準,(2)プログラムのテスト の手続,(3)プログラムの修正手続をあげている。 1)プログラム・ドキュメンテーションおよび基準
J969 香川大学経済学部 研究年報 9 ーーー 76・− EDPカ・ぺレ−ジョンの十分な管理に.は,プログラミ.ングの諸基準のマニュ アルが必要である。これは,(1)ドキュメンテーションの首尾一層性および十分 性の確保,(2)訓練の補助,(3)プログラミングの再使用の3つに役立つ0 このプログラムのドキュメンテーレヨンほ,つぎのような内容を含む0 プログラムの内容の要約 ゼネラル・システム・フロL−・チャ−ト コンピュータ・ロジックのブロック・ダイヤグラム レコ−・ドの記述内容:インプット,アウトプット,記憶領域 コー・ディソグのプログラム・.リスチングおよびプログラムデック 詳細なオペレ−ションの指示 プログラムをどこまで監査するか,そしてどこまで検討すべきか匿・ついて, モーアはつぎのように述べている。監査人の多くほ.,プログラミ.ングの技術を 習得していないか,あるいはコ−ディングの詳細を読むことができないかもし れないが,プログラミングおよびプログラム。ドキ.ユメンタージョンの原則ほ 理解できるし,また理解しなければならない。それは,監査人ほ,プログラム・ ドキュメンテ−ションの検閲をつうじて,特定のEDPシ’ステムについて多 くのことを学ぶことができるし,したがって,すぐれた監査方法を展開できる からである。 上のような目的のために,監査人は,プログラムの明細書,フロー・チャ−・ ト,全般的記述およびとく紅レコ−ド・レイアクトに示されたデータ・ファイ ルの内容を検討しなければならない。モ−アはこのような検討から,EDPシ/ ステム紅ついて2つの結論をうることができることを指摘するのであ、る。その 1つは,プログラムの機能および統制をしり,それら紅ついて予備的評定を行 なうことである。もう1つは,監査に必要な情報を入手するため紅はどのプロ グラムを検討すべきかということ,およびどのような情報が機械でとりだせる かということである。 ここで,モーアの見解で重要な点としてつぎのことを指摘することができよ う○すなわち,プログラム・ドキュメソデーションの検閲は,2つの機能をも つことである。すなわち,統制の予備的評定と情報入手とである。また,統制 の予備的評定であって,確定的評定でほなく,それがあとで検討されなければ
EDPシステムの監査方法論について −77・− ならないという認識も,統制の評定の性質の理解として重要である。 つぎに,プログラムの統制機能がとりあげられる。これほプログラムにおけ るデータ編集機能である。モL−アほ,この編集機能に.よって,継続的内部監査 機能がEDPシステムに永久に.組みこまれるとする。したがって,監査人にと って,プログラムのデ職夕編集機能の評定が重要紅なるのである。ところで, データ編集機能ほ,処理する情報に.ついて広範な質的チェックを行なうため に・,コンピュータのスピL−ド,能力および一層性を利用することである。この データ編集機能がEDPシ′ステム紅組みこまれる範囲と程度ほ.,システム・デ ザイナ・−の能力に・依存し,また,その効果と費用との比較紅よって決められ る。 したがって,プログラムにおける内部統制の評定の目的ほ,このような編集 機能がどれはど利用されているかを確かめること紅ある。経営者の観点からは, プログラムの編集機能の目的は,エラーの排除と費用の節減とであるが,監査人 の観点から曙,エラー・の排除が主で,費用の節減ほ副次的である。しかし,監 査人は.,取引の試査の結果に基づいて,プログラムに追加すべき編集機能を勧 告することができる。 モーアによれば,プログラムの編集ほ,つぎの2つ紅分けられる。(1)ハウス キーピング・チェック(2)クオリティ・チェック ノ\クスキーピング・チェックほ.,レコー・・ドに必要なデータがすべて含まれ, かつ数字の領域ほすべて数字であるこ.とを確降するためのコンポジンヨソ・チ ェックと,データにおいて使用されたコ−・ドが正しいことを確認するためのコ −ド・チェックとを含む。
クォリティ・チェックほ,合理性の換討(すなわち,選ばれた金額領域が定
められた限度をこえていないことを確保するチェック)とデータの相互依存性 の検討とを含む。エラノーの排除のため紅は.,相互依存性を検討する多くの編集 機能がプログラムに組み.こまれることが必要であろう。 また,モ−アほ,このような編集は,バッチ処理システムとリアル・タイム ・システムとでその意味がどう変わるかについて,つぎのようにみている。す なわち,広範な編集ほ,バッチ処理システムでも非常紅南風であるが,リアル ・タイム・システムでほ.絶対に必要である。というのほ,リアル・タイム・シJ969 香川大学経済学部 研究年報 9 − 7ぶ 一一 ステムでは遠隔地からのインプットに基づいて記録が即時に・更新され,かつ照 会に応じて更新後の情報が即時に利用できるシステムであるからである0この ように,EDPシステムでは,正当なデータだけが報含蓄へ流れていくように する役割をもつ編集プログラムが必要なのである。 2)プログラムのテスチソグの手続 つぎに,監査人はプログラムを換討しなければならないのであるが,すでに, 情報管理組織でシステムを立案した場合に使用したデスチッグの手続があるの で,監査人が,プログラムの検討の手がかりにすることが有用である。ただ, このようなデスチングの手続ほ,経営目的のものであるために,監査人の統制 および情報目的よりも相当に広範であるが,これを検討することによって,監 査人ほ相当の知識をえることができるのである。 なお,プログラムのデスチングの手続の諸特徴としてつぎの項目があげられ ている。 i)システムの編集およびその他の統制を破るために設計された模擬のデー タ。 ii)模擬のデータの広範性に.対する確証のためのチェックとしての大患の生 の取引データ。 iii)コントロ−ルド・アンサーとの差異の追跡を伴うシステムのコントロ、− ルド・アンサ−・の違反。 iv)更新能力を検証するための同じプログラムの1サイクル以上の検討0 v)インプットから,処理プログラムを経て報告にいたるプログラムの調和 性を検討するためのシステム全体の≒ストリング・テスト㌔ このよう紅プログラムにおけるシステムの監査は,システムのデスチングの 手続の検討としてあらわれるところ紅,モ・−アのシステム・アプローチの1つ の特徴があらわれているとみるこ.とができる。 3)プログラム修正手続 いかに.上手に設計され,かつ広範軋検討され,さらに.精巧に統制された手続 であっても,プログラムが十分に保全されていなければ,プログラムが自由に 変更されることが起こり,統制が不十分なものになってしまうおそれがある。 そこ.でプログラムの保全業務の統制が必要になり,監査人は,これを検討しな
EDPシ′ステムの監査方法論紅ついて −ア9− ければならない。 保全業務の統制は,理論的に.は,まったく単純である。すなわち,アプリケ −ジョンを変更する場合把.,新しいアプリケ−ションを行なう場合紅必要なも のと同じ形のドキュメンテーション,検討および承認の手続を要求するだけセ ある。このようなプログラムの保全業務の統制ほ,拘束的な手練を課すことに なるので,経営者およびプログラマーに,そ・の価値を認識させて,こ.れに.対す る熱意を生ぜしめることが必要である。 また,どのようなプログラムの変更の場合でも,プログラム・ドキュメンタ ー・ションの完全な訂正を要求するものではない。変更が些細なものである場合 にほ,注記的なドキュメンテ「ションあるいは基本的フローチャー・卜に他の色 で修正しても十分であろう。しかし,重大な変更またほ些細な変吏であっても その累積的給果が重大である場合は,完全なドキュ.メンテージョンの基準にし たがわなければならない。 (3)オペレーション 日々のオぺレ−ジョンの統制は,監査人が評定すべき欝3の領域である。も ちろん,オぺレL−ションの有効な統制の基礎とノしての組織およぴプログラミン グに・注意することも必要である。モ・−アは,カぺレL−ジョンの内部統制の方法 として,つぎのようなものをあげている。 1)最初の時点での上手なバッチ・バランも/ングおよびその他の統制と処理以 前の段階をつうじてのコントロール・トータルの継続的なチーエツキング0 2)不慮なデータの拒絶および返還を含むデー・タの移動に対する統制日誌0 3)非常に多数の遠隔地のインプット・ソースをもつリアル・タイム・システ ムのための取引の自動的日誌記録手続。ソースにおけるオー汐ッいテープ または磁気テープの日誌およびデータのインプット・ソー・ス。タッグほ,有 効なリアル・タイム・インプット統制の例である。広範なリアル・タイム編 集は,リアル・タイム・システムにおけるオぺレ−ジョンに・とって重要であ る。 4)標準的かつ統一・的なキ・−パンチまたはその他のインプット媒体の指示,す なわち,ユ−ザーおよびオぺレーターの必要および能力に適した媒体。 5)EAM(電子会計機)の処理およびコンピュータ・オぺレ−ショユ/につい
香川大学経済学部 研究年報 9 J969 ーβ0− ての明確に文書化された指示,サーなわち,絶対的に最小限皮のオぺレ−・ダー ・インターベンションおよび解釈。 6)ランプック,機械利用日誌,仕事の実行のドキュメンテーション0 7)健全なレーーペリングの手続,すなわち,データ・ファイルおよびプログラ ムのライブラリー・コントロール。 EDPシ′ステムがより高度化していくにつれて,新しい統制および監査技術 があらわれる。モ−アは,その1つとして,取引ロギングをあげている。それ ほ,各取引へ・のソー・ス・インプット・コー・ドの割り当でである。これらのイン プット・コードは,各取引に/ついて,日付,時間,ソース・インプット。・ユニ ット,オぺレータ一番号のようなデータを示す。また,コードは,インプット・ レコードの再製のためのバックアップ・レコL−・ドの作成を可能にする。 つぎに,モーアは,コンソ−ルにおけるオぺレー・クーの統制の問題にふれて いる。すなわら,多くの監査人は,コンソールにおいてオぺレ一夕一によっ て,プログラムが修正される可能性に関心をもつ。しかし,プログラミングの 技術が改善されるに/つれて,オぺレー・ターのインタL−ペンションの危険ほ少な くされる。オぺレー・ターが不正を行なうには,プログラムについての詳細な知 識,十分な時間および動機づけが必要である。ところが,健全な内部統制は上 の3つの要件を小さぐする。このような内部統制として,つぎのようなものを あげている。 1)ノン・ストップの形式で書かれたプログラムの諸機能の分離,すなわちオ ペレー・ター紅詳細な指示を与えて解釈やインターペン1/ヨンを許さない。 2)オぺレ−ションの基準および有効なスケジュ−・リング技術。
3)EDP機能と会社資産への接近との分離およぴEDP部門以外の親織によ
る独立的チェック。 (4)ハ−ドゥェアおよびソフトウエア モーアほ,ノ、−ドゥェアおよびソフトウエアの統制ほ正確な処理に必要であ るが,監査人にとっては問題がないとする。それは組織,プログラミングおよび オぺレー ションの統制が健全であれば,ハ−ドゥェアおよびソフトクェアの統 制が弱いとは思われないからである。今日のコンビュ」一夕のハL−ドゥェアおよ びソ」−フトウェアの信頼性ほ相当なものであり,統制に問題があるとすれば,そEDPシ′ステムの監査方法論に.ついて −β∫− れは本当ほ別のところにあるものである。 ところでモー・アに・よれば,ハードウエア・コントロールとは,基礎的コンビ ュ一夕機能の正確性の確保紅向けられ,ソフトウエア・コントロールほ,デー タの移動に・対する統制およびエラー軋謝するチェックである。そして,監査人 ほ,どちらかといえばソフトクェ.アの統制紅関心をもつであろう。 以上,EDPシ′ステムについて4つの主要な統制の領域を,モーアに.したが ってとりあげてきた。ここにおいて,モ−アほ,これらすべての統制における経 営者と監査人の関心は同じであるとする。それは,監査人が,伝統的にほ/たし た会計組織の助言者としての役割が,EDPシ′ステムにおいても期待されると するのである。 なお,モ−アはEDPシ′ステムに.対する保険の十分性も,内部統制の1つの 重要な評定点であるとしている。その理由の1つは,EDPシステムには.巨額 な投資が行なわれているということであり,もう1つの理由は,記録のEDP システムへの集中に.よって,EDPシステムのオぺレーションの中断ほ,巨額 な費用をまねくものと予想されるからである。 ⅠⅤ これまで説明してきたところでも明らかなように,モーアのシステム・アプ ローチは,監査人が,EDPシ′ステムが有効な情報および統制組織であること を確かめることである。換言すれば,システム・アブロ−チほ,EDPシステ ムが,このような目的のために有効なものであることを確保する方法であ る。ここから,モ−・アの場合には,内部統制の評定が必要であることが導かれ る。そして,このような評定過程を,暫定的評定とタスチングに.よる検証的評 定とに分けている。これまでのべてきた組織,プログラミング,オぺレTシ′ ヨンハードウエアおよびソフトウエアの領域に.ついての統制の評定は,暫定的 結論をえるものであった。シ′ステム・アブロ」−チほ,このような面に重点をお くことに特徴がある。すなわち,いかに有効なEDPシ′ステムを作るかという ことにある。
J969 香川大学経済学部 研究年報 9 叫β2− しかし,内部統制の評定過程において:ほ,すなわち,システム・アプローチ に.よノってえられたEDPシ′ステム」の有効性紅ついての潜論ほ・,デステングによ って確認されなければならない。システム・アブロ・−チほ,試査のために目的 を限定するほたらきをもち,デスチングは.,そこで限定きれた重要な統制につ いて,EDPシステムが信頼的に機能しつつあることを確かめることを目的と している。 モ「アによれば,デスチングの基本的機能は,プログラムおよびそのコント ロールがその設封どおりに機虚している明確な証拠を入手することである0 とこに,EDPシ/ネテムにおける内部統制の機能のテストについて,独特の考 え方があらわれる。すなわち,これまでの手記的レスデムにおける内部統制の 機能の有効性を確かめるために.は,過去の取引の処理の過程をあとづけること 紅よって一行なわれてきた。ところが,EDPシ′ステムでは,過去の取引の処理 の過程をあとづけるのでほ.なく,現在に.おいて実際の処理を生じさせて統制の 機能の有効性を確かめようとするところ紅大きな相違がある。ここ紅伝統的監 査方法論からシステム・アブローチへの転換の契機がみられると思う。 タスチングあるいほコンビ.ユータJ・・・・爪・オ−汐ット・プログラムは,プログラ ムおよびその統制が設計どおりに機能していることを確かめるのに有効な手段 である。この場合に,モ−アほ,他の論者のプログラムを読んで,その論理を評 価し,統制の存在を確認すべきであるという主張について批判的立場をとって いる。その1つの理由ほ,監査人がプログラミングについて専門的な技能水準 を維持することは困難であるということである。さら紅,プログラム・ス−バ ーバイザエでさえ,デスチングの手続によって満足していることがあげられて いる。そして,テストに関して重要なテスト・デック,ニラ、−の類型およびプ ログラムの変更紅ついて説明している。 (1)テスト・デック 監査に必要なテスト・デックの要件は,プログラマー・の自分の作成したプロ プラムについてのテスト・デックの要件とそれはど変るものでは.ない。したが って,テスト・デックによって,基礎的なシステム・ユタ−・を発見するという ことはない。しかし,テスト・デックは編集プログラムの広範性についての弱 点を明らかにすることができる。すなわち,聞達ったデータおよび統制をおか
EDPシステムの監査方法論について −ββ− すようなデータを作成して,プログララムに細みこまれたチェックが有効には たらいているかどうかをテストするのである。このようなテスト・デックの要 件の理解の多くほ,内部統制の暫定的評価からえられる。 モ−アはテスト・デック紅必要な要件として,つぎのようなものをあげてい る。 1)テスト取引であるデTタを明確に確認する特殊なコ・−ディングまたは名前。 2)すべてのテストヤデータをアウトプットでグループにする共通のコ−ディ ング。 3)チ.エツキングに便利なように.エラ・−の種類によって配列する。 4)容易に.認識し,かつ調整されるテスト金額。 さらに,モ−アは.,システムの重要な統制をテストするのに必要な典型的なテ スト条件として,つぎのようなものをあげている。 1)インプットの不均衡なバッチ 2)a)数字のデー・タであるぺきところが英字のデータであったり,またはそ の道であるデータ。 b)不当な日付,勘定コL−・ドおよびレコードの種類のデータ。 C)ブランクの領域の,またほ異常なデー・タ。 d)フィールドの大きさの限度をこえ」たデータ。 e)プラスの金額のみである場合にマイナ・スの金額のデータ。 3)相互依存的データに∴ついてのあらゆる種類の編集の違反。 4)順序のちがったデータ。 5)間違ったファイルによる処理○ このように.,テスト・デックは正常な場合の処理の仕方をテストするもので もあるが,重点はEDPシステムの統制をテストすることにおかれる。 なお,オン・ライン・リアル・タイム・システムに・ついて,モーアほ,つぎ のような点を指摘している。すなわち,このシステムでは,データのインプッ トや照会が分権化されて」おり,またオぺレ一夕−が,比較的紅熟練していない 場合が多いので,インプットの編集の統制の強度をテストすることが重要であ る。また,このシステムにおける監査で有利な点はシステムが現実に動いてお り,本当のデー・タを処理しつつあるときに,テスト・データを入れることがで
香川大学経済学部 研究年報 9 ー β・≠ − J969 きることである。 (2)エラ−の分類 システムの設計およびそのテストにとって・エラーを分類することは有用であ るとし,モーアほ.,つぎの3つに分類している。 1)プログラム停止が必要な・エラL− これは,システム紅とって非常に基本的な問題であるので,処理がストップ され,コンビュ一夕ーからとりだされて,再処理が行なわれるまえ.に検討さ れなければならない。このような例には,順序がちがう状態またほコントロ− ル・トータルと一・致しないファイルがある。 2)拒否信号が必要なエラー こ.れは未決のコントロール勘定に入れられて処理されないが,処理ほ.ストッ ブされない。拒否信号ほ,経営者に,データのコードまたほ金額がちがってい るか,あるいは.処理が拒否されるに十分なエ・ラ−があることを示す。このよ うな例にほ,信用限度の超過,間違った費用コードなどがある。 3)管理信号が必要なエラー これは未決勘定に入れるはど重大ではないが管理者の検討あるいはその他の 統制行為をとるように注意するものである。このような例に.ほ,特定の金額超 過,購入点以下の在庫減少などがある。したがって,とれは,監査紅必要な特 定種類の取引のための管理信号を編集プログラムに組みこむことができる。こ れほ,内部監査人の継続的な選択的検討のための手段として’有一効である。 (3)プログラム払おける変更 テスト・デー・タに.よって,プログラムに.ある統制が実在していることほ確か められるが,ここで問題なのは,同一プログラムが,期間中使用されていたか どうかということである。 モ−アほ,この問題に.ついて,すべての統制について問題紅なりうるのであ って,EDPシ′ステムに・独特の問題ではないという。 モーアほ.,統計的サンプリングと同じ問題であるという。すなわち,統計的 サンプリングは,危険を排除しない。しかし,危険を測定する客観的方法を 与えて,監査人が危険を減少することを可能にした。同じように,EDPシ′ス テムほ,継続的な統制を保証しない。しかし,監査人に,統制が継続的である
EDPシ′ステムの監査方法論に/ついて −− β5・−・ ことを以前よりもより大きく保証する。この保証は,デスチングによって−え.ら れない。究極的には組織,プログラミング,手続的実践に.よって保証されなけ ればならない。そして,これらの統制に欠陥があれば,監査手続を拡張しなけ ればならない。 そこで,プログラムの統制技術として,コントロ−ル・コピュ−・の使用があ げられる0すなわち,各プログラムについでマスタ−・コピ−と日常的なオぺ レーションのために.使用するコピーとを作成し,プログラムの不当な変更に対 するチェックとして,定期的に,あるいほ抜き打ち的に.比較する。とれによっ て,適正な手続が期間中有効であったこ・とが保証される。 さらに,モーアほ,期間中の統制の継続性を確かめる手段として,オージッ ト・テスト,いわゆる試査をあげてごいる。たとえば,全期間のインプット・デ ータの統計的選択を行なって,現在のプログラムに.対するテスト・デックとし て利用する。そして二,そしてその結果を過去の報告書まで追跡することに.よっ て,テストされたプログラムが期間中継続的に使用されたことを確かめること ができる。このように,プログラムのタスチングの限界を縛強するために,他 の統制手段,さらに.監査手続が必要とされる。 Ⅴ これまで,モ−・アのEDPシステムの監査方法論をみてきた。かれの,シス テム・アブロ−チの基本的前提は独特であるが,具体的な内部統制およびデス チングの個々の内容については,こ.れまでの文献にみられるものとはそれはど 異なるところほないようである。しかし,かれが,それらの個々の問題を位置 づける場合の一・連の思考に.ほ,監査方法論の展開の1つの手がかりが魂い ださ れるのではないかと思われる。 まず,EDPシ′ステムの監査方法論の方向であるが,モ−アが考え.てこいるよ うにシステム紅重点をおく方向にあることに.ほ反対はないであろう 。たとえ ば,スデットラ−ほ,将来の監査方法は,高度に.システム志向的になることを 予想し,つぎのように考えて:いる。6)すぐれた統制が十分紅設計されたEDP 6)HF.Stettler,“CPAs/Auditing/2000±”,TheJournalofAccounianc二γ,May 1968,pp.55∼60
香川大学経済学部 研究年報 9 −β6 − J969 ジステムに凍みこまれてこくる紅したがって,外部証拠の重要性ほ減少するであ ろう。しかし,今から30年後でも,外部証拠からEDPシステムの内部機構へ の完全な移行は生じないであろう1。やほり,監査人ほ事実にふれる必要がある が,その場合の外部証拠の意味は,勘定残高の正しさを直接的紅検証しようと いうためのものではなくては,会計システムのはたらきを確認するためのも のである。 こ.のようなスデットラーの見解は,EDPシ′ステムの高度化紅よって:,個別的 な情報システムが統合化され,処理が即時化されていくにつれて,人間的介入 がますます少なくされ,かつ監査証跡も,伝統的なものが少なくなり,電子的 形態のものが増加してくると,次第に.現実化してくる。ダイアモンドおよぴク ラリンガ−がいうように・,監査はシステム紅組みこまれた統制紅,より多く依 存しなければならなくなる。7) このように.監査は,システム志向的になるのであるが,モー・アのシステム・ アブロ」−チでは,EDPシ/ステムを情報システムと統制システムとの二面をも つものとしてことらえ.ることであった。すなわち,監査においてほ,監査紅必要 な情報をえるシステムとして考えるとともに,内部統制の評定の対象として考 え.なければならない。しかし,監査に関する情報システムの面牲,システム・ アブロ−チに.おいて重要であるという指摘をおこ.なっているだけで,詳細な展 開は行なわれていない。そこでは,監査人の結論を基礎づけるためによりよい 情報を入手するためEDPシステムを利用しなければならないとされるに.と どまる。 そして,内部統制の評定の問題に.集中される。それほ,EDPシ′ステムの組 織,プログラミング,オぺレーージョン,ノ、−ドゥェアおよびソフトウエアの統 制の諸問題が評定される。その評定の個々の点についても,それはど独特のも のほない。モ−アの場合,この評定は,暫定的結論をえるものとして位置づけ られる。すなわち,レステムの設計においていかに有効かつ十分な統制が設定 されているかが評定される。しかし,それは暫定的結論であって,その実際の 機能が確証されなければならない。
7)T.D。Diamond andJ。C”ⅩrallingeI,‘‘ControIs and Audit TIails for Real− Time Systems”,77teInternalAuditor,November/December1968,pp.6∼12..
EDPシ′.ステムの盤査方法論についで −βグー 統制の実際の機能を確証する手続がデスチングである。モーアは,これをプ ログラムのタスチングとする。プログラムのデスチングの手続の内容について も,別段新しい見解ほみられない。しかし,モーアほ,プログラムのデスチン グによって,統制のはたらきが確認されても,それほ統制の継続的機能を保証 するものではないことを指摘する。そして,それを確保するのは内部統制であ るとする。このように,内部統制の暫定的評定によって重要な統制領域を認識 し,それに・基づいて統制をテストし,その緒論は,さらに,内部統制把よって 確保されなければならないという関係にある。このような評定過程の循環は, 別の機会紅も指摘したが,8)モ−アのなかにも読みとるこ.とができるのは興味 深い。 ここで,手記的会計システムでの内部統制の評定との相違を指摘しておこ う。−・般的に・内部統制の整備の状況は予備調査およびその後の取引記帳の試査 により,また運用の程度ほ取引記録および勘定残高の試査紅よって−評定され る0この場合,試査は,あくまでも過去の実際の取引に.ついて行なわれ,それ ほ監査すべき財務諸表に結びついたものである。ところが,EDPシ′ステムに おける内部統制の評定に・おいてほ,そのデスチングは,単紅システムのはたら きをためしているだけであって処理された情報を監査しているのではない。と ころが試査ほ,内部統制の評定とともに,処理された情報を監査するという二 面性をもつものである。EDPシ′ステムのデースチングの場合にほ,いくら過去 の実際の取引データをテスト・データとして使ったとしても,それは.現在のE DPシステムの処理を検討しているのであって,過去の取引の過去に.おける処 理を検討しているのでほない。 このように,システム・アプローチでほ,監査の目的はEDPシ′ステムによ って処理された情報の信漑性よりも,むしろEDPシ′ステム自体の信敵性への 転換の契機を含んでいる0このような監査目的の移行ほ,アントニオに.よっ て,つぎのように・批判されている。9)すなわち信頼的な情報システムほ,必ず しも信頼できる情報を作成しないし,また,人的要素を含む複雑な経営組織の 8)拙著『近代監査の理論と制度』算六章「財務諸表監査紅おける内部統制組織の本質」 を参照されたい。 9)J。F.Antonio,OP,Citt,Pp..291∼292い
香川大学経済学部 研究年報 9 ユタ69 −βg − 信頼性の決定が可能であるかどうか疑問であり,さらに.,財務諸表の読者が監 査紅要請するのは,情報レ.ステム自体の信頼性ではなくて−,特定の情報の信頼 性であるからである。 アントニオの批判ほ.,究極のところ,EDPシ′ステム自体の信頼性が,完全 に.,それ軋よって作成された情報の信頼性そのものとはならないということで ある。それは,そのままEDPシステムの統制の限界であり,したがってまた統 制の評定の限界を問題にしているといえる。たしかに.,手記的システムからE DPシ′ステムに.移行することによって内部統制の信頼性は非常紅.高度のものに なったが,それでも多くの限界をもつものである。これについてほ,アントニ オによって,つぎの点が指摘されている。10)すなわち,第1に,内部統制は確 率的なものであって完全なものでほない。たとえ.ば,訂正的統制は予防的統制 が弱けれほ有効ではない,また。人間による訂正は必ずしも完全ではない。さら 紅,データの合理性ほチェックできても,その取引が実際に発生したことまで 確かめられない。第2に・,統制に・服しない人間的行為があり,システムほ利己 心をもつ人間に依存しなけれはならないという点があげられる。 もちろん,ここで指摘されたような限界があることほ明らかであるが,内部 統制が設定され機能しつつあることが確かめられれば,それがある程度継続的 であることを袈づけることになるという関係も否定されるべきでほないであろ う。それほ,本来内部統制の多くが統制の継続的確保を意図しているからであ る。アントニオの批判も,この点に関連している。すなわち,プロセデュアル ・オージット・トレ−・ルの批判としてつぎのような条件が必要であるとのぺて いる。11)第1ほ,監査できる原始記録が実際に期中に処理された資料のすべて であるということである。第2は,監査人の監査したプログラムが,期中のす ぺての取引の処理紅用いられたものであるということである。第3ほ,不当な 人的介入なしにプログラムが実行されたということである。これらの諸条件を 確かめるために,実際の取引を試査しなければならないとしている。 やはり,EDPシ′ステムの監査が,システム・アブロー・チを主体とするもの であっても,システム自体の信頼性と情報の信頼性とが,特定情報について結 10)J∂よd‖,ppい160−164“前掲拙稿21ぺ・−ジ。 11)J∂紘,pp“170−181.前掲拙稿21∼23ぺ一汐。
EDpシ′.ステムの監査方法論に.ついて −β9− びつけられることが必要であろう。ここにおいて,財務諸表監査におけるED Pシステムの内部統制の評定が位置づけられるのである。財務諸表に結びつけ られない内部統制の評定ほ,あくまでも暫定的結論であり,監査人の財務諸表 の適正性の意見が形成されたときに.,内部統制の評定が確定するのである。 このように.,特定情報について,情報システムの信頼性と情報の信頼性とを 結びつけるはたらきをする監査手続として,取引の試査を位置づけることがで きる。すなわち,現在のEDPシステムに存在し,かつ機能しつつあることが 確かめられた統制によって一期間中のすぺての取引が処理されたことを保証する ために,期間中の過去の実際の取引を過去の処理について追跡しなければなら ない。この試査を,モーアは,統制の継続性についての結論を補強するものと する。しかし,われわれは,より積極的に,財務諸表の適正値にEDPシ′ステ ムの信頼性を結びつけるものとして位置づける。もちろん,この試査の場合に も,多くの監査証跡が電子的形態に・なっているので,アントニオがいうよう に,コンピューターを利用することが必要であるのは,いうまでもない。ただ 注意しなければならないのほ.,それほ.過去の実際の取引について財務諸表の適 正性を跡づけているのであって,現在のEDPシステムの機能を確かめている のではないということである。 このように.,財務諸表監査の方法は,EDPシ′ステムの側からのアブロL−チ が大部分をなすように進んでいくと判断されるが,このような方向と関連して いわゆる外部証拠の位置づけが重要に・なる。たしかに,財産計算的思考からの 外部証拠の重視はもはや存在しないであろう。しかし,情報処理のシステムへ の依存の増大は,システムとは別の方向からの確証の重要性を浮かび上らせ る。すなわち,システムに依存する立証ほ,結局システムの限界をこえること ができない。そこで,システムに依存しない,したがってシステムとは別の方 向からの立証が必要である。それが,財務諸表の外部証拠に・よる立証である。 それは,システムに依存する立証の確証づけを目的とする立証である0 さき に,のべた実際の取引の試査ほ,たしかに・システム自体の立証でほなく,財務 諸表の立証を意図するものではあるが,やはりシステムの側からの,システム に依存した立証である。したがって,システムの外からの,すなわち外部証拠 による確証を必要とするのである。
香川大学経済学部 研究年報 9
