Comments
Description
Transcript
Page 1 ー 34 ー 34 EDPSに関する内部監査の問題
OLIVE 香川大学学術情報リポジトリ 34 −β4一 <研究ノート> EDPSに関する内部監査の問題についてこ 森 Ⅰは じ め に はじめて,汎用、コンビ,ユ.一夕ーとして.,MaIkIが,IBM社と臥アイケンとの共同研究 (1) に.よって;誕生したのほ,1944年であった。つぎに,電子回路を最初に採用したコンビヱ (2) 一夕叫であるENIACが完成されたのは,1946年であった。さらに,はじめて企業の用途 に利用されたコンビ,ユ.L−・ターであるUNIVAC−Ⅰが,し/ミントンランド社笹よって開発さ れたのは,1951年であったが,一般企業のコンビユ一夕ー紅関する経験は,大体1955年ご (8) ろからはじまったにすぎないといわれて.いる。このように・,コンビュ.−タ−・について−の, 世界的な先進国である米国の企業でも,せいぜい十年あまりの経験しかもっていないが, その後の急速な発展は,先年,訪米してニ,その実情を調査したわが国のMIS調査団の経営 者をして,驚かしめ,そのため,わが国に・おいても,国嘩環境のきびしさを切実に認識す るととも紅,経営合理化の手段とレて,コンピューターに・対する関心が,払わかに高まっ て:きた。 このよう紅,コンビ,コ一夕ーの企業への普及が本格化して:くるに.つれて:,企業において二, コシピ.ユ・−タ−の存在およびその位置づけが,次第に胡確になり,それに関連して:生/ずる 問題も,かなりはっきりした形でとらえることができるように・なる。 したがって,企業の情報組織に重大な関心をもたなければならない監査人は,たとえ, かれが,財務諸表監査を担当する外部監査人であろうと,あるいは.,経営管理者のスタッ フとして監査を行なう内部監査人であろうと,コンビ.コ・一夕・−・が,企業の情報組織に.おい て,どのように位置づけられているかを把捉し,それが,それぞれの監査紅どのような影 響を与えるかを認識し,それをどのように・解決していくかという方法をみいださなければ ならない。 (1)W.S”Boutell,Audiiing u,iththe Combuier,p・29・ (2)J∂∠dい,pい 30 (3)J∂∠d.,p.39. OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題に.ついて 35 ーβ5− 本稿でほ,EDPS把関する内部監査の問題をとりあげた。それは,財務諸表監査と内部 監査とでは,その基本的目的が相違してこいるのほいうまでもないが,財務諸表監査では, 内部統制紡織の調査が,その1本の柱としで,非常把重要紅なっており,その調査のため 把は,内部統制組織の劇環とし七働いている内部監査人がEDPSに.ついて:,どのよう紅問 題をとらえ,どのような領域において,どのような業務を行なって:いるかをしることが必 (4) 要であるからである。 ここでは,米国の内部監査の専門雑誌の『内部監査人(TheInternalAuditor)』に,比 較的最近にあらわれたEDPSに・関する内部監査をとりあげた論文を,3っほど選んで紹介 する。このようなわけで,3つの論文を,体系的にとりあげたわけではない。ここでの目 的は,米国紅おいでも比較的新しい問題領域であるEDPSの内部監査の問題について,ど のように研究を深めていこうとしているのかといった方向づけを,ある程度明らかにしよ うとすることである。したがって,紹介ということに.重点をおき,論文自体の検討および 筆者の自説の展開は,後日にゆずった。 ⅠIEDPSのコントロールに対する内部監査 まず,最初紅トW…T.ポー・クーの「監査とコンビふ一夕ー・」と適する論文をとりあげ (5) る。かれのEDPSに関する内部監査の考え方は,比較的か−ソドックスなタイプ把属する と思われる。すなわち,かれは.,内部監査人のEDPSに・おける役割は,EDPS7e:・おける統 制の存在および有効性を確かめることにあるとして,EDPS紅おける統制を,詳細紅,分 析して.いる。 (4)レイモンドは,EDPSの導入隠伴う監査証跡の消滅に・よって,外部監査人が内部監査 人に.依存することの必要性が増大することを指摘している。すなわち,外部監査人は, 原始記録や中間的記録に・依存できなくなったので,その代わりに・,EDPSに潤する内部 統制の継続的な監査が重要紅なるが,内部監査人は,内部統制を常に.検討して,外部監 査人が必要とすろ証拠を収集することができる。また,内部監査人は,新しい手続,処 理の変更およぴその他の妥要な事項紅ついての情報を,外部監査人匿提供することがで きる。したがって,EDPS時代の外部監査人は,内部監査人に・対する依存が大きくなっ ている。RH‖ Raymond,‘‘TheImpact of EDP on Auditing,,,The Znternal Audiior,Jan./Feb.1968,p,27. (5)伽・・T∴PoIter,・‘Auditingand the Computer”,The(nternalAuditor,fa11 1967,pp.33−ト39. OLIVE 香川大学学術情報リポジトリ ーβ6− 箆41巻 第1弓 36 〔1〕内部監査人のコンビュ加夕・−・システムの評価 (6) まず,ポーター・は,内部監査の機能を,一腰的に.論じる。内部監査人協会の「内部監査 人の責任に・関するスデー・トメソト」は,内部監査人の基本的責任は,能率的な経営統制の ために設けられた手続,方針および討画の評価であることを明らかにしているとする。そ こで,もしも,経営統制を,「経営者が,それに・よって−,組織目的の達成のためにいろい ろな資源を獲得し,かつそれを有効かつ能率的に使用することを確保する手続である」と 定義すれば,内部監査人は,経営情報の正確性はかりでなく,計画および統制目的の十分 性も,また,とり卦つかわなければならないことが明らかになる。 内部監査人は,財務記録の監査に加えて,経営計画および統制の手段も監査しなけれは ならない。ある経営活動を監査する場合,内部監査人ほ,討画,その討画の達成のため に,その活動を組織し,人員を配置し,かつ指揮する方法,および計画に対して実績を測 定し,かつ評価する統制をとりあつかわなければならないとする。 ポーターは,内部監査一般紅ついて.,その範囲を明らかにし,このような考え方に基づ き,コンビェ一夕ー紅よるデータ処理システムに・おける統制の評価は,つぎのような4っ の監査領域を含むとし,そして一それを段階的紅考えて:いる。 (7) 1)組織劇画(planofor!anization) 2)管理的統制(administIativecontroIs) 3)手続的統制(proceduralcontroIs) 4)vステム立案(sy苧temSplanning) ここで,ポーターー・が,とくに強調するのは,これまでの内部監査の観点を変え.なければ ならないということである。すなわち,これまで,監査人が,コンビ、コ.一夕・−・システム を評価する場合,コンビ.ユーザ−・によって処理された資料の正確性を確かめ,そして取引 (6)J∂よd.,pp.34∼5. (7)グリネ」−れ−およびバ−・は,EDPSの内部統制組織紅対する影響の重要な領域とし で,職務の分割と内部記録統制(internalrecordcontrol)の2つをあげている。内吾㍍己 録統制は,会計部門内で会計記録の正確性を確保する統制とし,EDPSに関する主要な ものとしてインプットアウトプット統制をあげる。それは,インプットとアウトプッ トとの比較k・よる統制であり,その例として,リミット・チェック(1imitcheck,注鍋 参照),ハツV.ユまたはノンセンス・トー・タル(hashornonsensetotal,注(32)参鼎),リ バ−・ス・マルチプリケ−Vヨン(reverse multiplication),クロス・フツチング・チ:ェッ ク(cIOSS・fottingchecks),レコ・−・ド・カウント(IeCOrdcountS,注Bl)参照),セルフ。チ・.ニ ッキソグ・コ−ド(self−Checkingcodes)をあげている。R.LGrinaker and B,Barr, Az(dよわ刀g,pp.547′∼550. OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題に.ついて 37 −β7− および記録について伝統的試査を行なうことに,はとんどの時間を艶やし・こいるが,組織 要件,レステヰおよぴプラユングの蓋準,操作の実際,システム計画などが,監査人の評 価が重要な領域である′ことに注意しなければならないとしている。 〔2〕組織要件の評価 ポ一夕−ほ,デー・タ処理のオ−トメ化が,統制の点について,これまでの組識構造に大 きな影響を与えたとする。すなわち,デー・タ処理のカ■−トメ化の結果として,デー・タ処理 活動の集権化およびデー・夕処理機能の集中化を増加させたが,データ処理の1部門への集 権化および集中化紅よって,ヂふタ処理部門自身に.適当な統制が重要なことが強調される ように.なる。 内部統制の蓋水的原則の1っとして二,取引に対して権限をもつ人びと,購入資産の保管 を担当する人びと,および資産の会計記録を担当する人びとの分割があげられて−いる。他 の機能の場合と同じように.,会割においても,この基本的分割が,満足的な内部統制のた め紅灘持されなければならないことは明らかである0とこ 本的原則庭矛盾しないけれども,腱限授与の方法および性質が,変化する場合があること を指摘する。そこで,ポーク−は,オー・†メ化された在庫管理の例をあげる。ここでほ, ある棚卸資産項目の残高が,ある盈以下に下がると,コンビ.ユ−ター・が,自動的に,購買 指令を出すようになっていれば,表面上は,権限分割が1っ減少したように・みえる。しか し,権限ほ,業務の担当者から,購買を承認し,あるいほ請求する要件を考慮するプログ (き) ラムを設計する人びとk移されたのであるから,そうではない。 さら紅,ポィーク′−は,新しく,つぎのような機能分割が必要紅なるととを指摘する。す なわち,権限授与機能と記録機能とが,プログラム自体紅結合されて:いるシステムについ て,その継続的な誠実性を維持するために.は,レステム設計およびプログラミング機能, 機械操作機能お、よびプログラム管理およびデープ・ライブラリー機能の分割が必要であ る。昇一タ・−は,このような分割が重要な理由として,つぎの3つをあげている。 1) 分割は,システム匿加えられた変更の正確性および適当性に対する有効なチ.ェ.ッ クとなる。 2) これに.よって操作担当者が,事前の承認および十分なチ.ェックなしに,修正を加 えるという好ましくない状態を回避することができる。 (8)W.T..Porter,0♪.cit“,p.34. OLIVE 香川大学学術情報リポジトリ 38 籍41巻 第1号 ー3β− 3一) 操作担当者以外の人びとが,設備に近づくことを防止するこ.とができる。 (9) ポーク∵−ほ,さらに.,このような職務の分割は,業務能率の点からみても,のぞましい ものであるとする。その理由は,これらの業務を行なうの紅必要な能力,経験および技能 ほ,それぞれ相当に・相違するので,専門化させたはうが,能率的であるというのである。 (10) とと・ろで,小規模会社の場合には,これまでのべたようなデータ処理活動の組織は,実 際的ではない。という′のは,このような会社では,EDP担当者の行なう機能が多数であ るからである。たとえば,レステ\ム設計者が,同時にプログラマーであったり,コシピーユ −・ターを操作する人々が,同時に・,デー・プおよびプログラム・ライブラリーを管理したり することがありうるからである。そこで,ポ−\クー・は,このような状態において,機能を 分割することは,非常に困難であるかもしれないけれども,機能分割の理由は,依然とし (11) て二正当なものとして残るとする。 〔3〕管理的統制 ポータL−は,EDPSにおける管理的統制は,1)レスデム設計,2)プログヲミングおよ び3)コンビ.ユ−クー操作における事務手続の制定,文二番化および実施に結びつけること ができるとし,この3っに分けて分析を進めている。 (1)システム設計 ポークー偲,Vステム設計凌・,デー・タ・Vステム調査(datasystemsurvey)とデータ ・Vステム研究(datasystemst11dy)の2っの段階に分ける。 まず,データ・システム調査でほ,つぎのようなこと把注意しなければならないとす る0デー・タ・システム調査紅よって−,適用の範囲および目標,目標達成のための計画およ び予定表,費用および利益の見損などの概略をえなければならない。データ・システム調 査の文番の重要な部分であり,したがって,また,重要な統制は,デー・タ・システム調査 に着手するまえの経営者紅よる承認である。また,この承認は,できるだけ高い経営階層 の経営者に・よって二行なわれなければならない。なぜ,ポーターが,このようなこ.とを注意 するのかといえば,実際においてほ,経営者が,EDPが会社に.おいて,行なっでいること とか,あるいは行なっていないことを,し、らなかったり,あるいは,むしろ理解していな いこ・とが,あまりに・も多いからである。さらに・,逆に・,レステムの担当者が,往往紅し ● 5 ∼ l・4 ▼∂ ▼ク ▼α .針 p p p .J一 ・−● 一∂ 誕343 ●一 ーー︷ TノーJ ♂.d 卯∵M∴川 3 OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題紅ついて 39 て,レスデム設討に重要な経営方針を,しらないことが多いのである。 ー∂9− (12) つぎに,ポーターはつ:データ・レステム研究について,つぎのような注意を与えてい る。このデ岬タ・システム研究は,現在の手続の検討を含まなけれほならない。この検討 は,新しいシステムにほ,どのような特徴および統制が必要であり,かつ有用であるかと いうこと,および現在の手続の改善庭どのような変更が行なえるかを示さなければならな い。現在のシステムを検討したあとで,新しいシステムほ.,マスター・ファイルの内容の 決定および文書化,インプット(入力)およびアウトプット(出力)の要件,処理方法お よび統制の要件を含むよう紅設計されなければならない。それに.加え/て,文書化は,デー タの収集,処理および報告の予定表,予定実行時,必要な械械装置,転換の方法および (1S・ タイミソグなどを含まなければならないとされろ。 (2)プログラミング EDPSにおけるプログラミソグの管理的統制庭ついて,つぎの点についで,注意すると とが必要である。コンビ.コ−・クー・プログヲミソグは,フロー・・チ・や−・ト プdグラム・ リスティング,コンビ.ユ一夕一揆作インストラグションの作成を含む。ポーターは,EDPS またほその適用の計画および設定の間に・,プログラム作成に関するすべての両を,できる かぎりほっきりと,文苔化することがのぞましいとする。それはこのような文書化は,プ ログラムを理解し,統制する手段として,また,それぞれのプdグラム紅関する適当な零 (14) 実のすべてこの永久的な歴史として役立つからである。 また,ポーク−・は,プログラム・ラン・ブックやミ,非常紅有用な文書であるとし,これ 紅加えで,コソソ−ル・ラン・ブックも,コンビュ−ダー操作担当者が,各プログラムを (16) 操作する場合に,特別紅使用するために作成されなければならないとしている。 さらに,プログラミソグの基準の必要性紅もふれてこいる。すなわち,能率的なプログラ ムの作成のため紅ほ,プログラミソグの基準が必要である。そのために,プログラミング ・マニュ.アルを設定し,維持し,かつ,それには組織全体を通じての標準的な方針,手続 および技術が含まれていなければならない。 ポー・クーは,プログラムの変更についての手続も,明らか紅されていなければならない .−‘ ・●▲ ▼ハV ▼n︶ ▼〃Y p p p ・◆‘ ■人U 5 5 5 5 3 3 3 3 p ・●l ▼α.α.α一d r▲r▲ ︼−▲−− OLIVE 香川大学学術情報リポジトリ 一・4クー 40 算41巻 籍1弓 とする。すなわち,企業活動の多くが動態的性質をもち,それがプログラムの変更の原因 に.なる。プログラムが,特別のr目的のため,虚偽のため,あるいはその他の目的のため に,不正に操作されることを防止するため紅,プログラムの変更には,適当に公式化さ (t¢) れ,文番化された手続を必要とする。 (3う コンビュ一夕ー換作 コンビュ.丁クー操作における統制のために.,つぎのようないぐつかの文書化および手続 が重要であるとしている。ポーターほ,コンビ.ユ一夕−・操作に対するもっとも重要な統制 の1っとして,時間の記録および分析のために作成した記録をあげている。この利用記録 は,それぞれの仕事の処理のために贋やされた時間およびすべての喪失時間の理由を確か (17) めるために,着任ある操作担当者によって.分析され,検討されなければならない。 つぎに・,EDPの操作における他の羊要な統制として,会社の離れた場所での記録保管 計画をあげている。すなわち,離れた場所に.保管しなゆればならないテ㌧−プは,特別のシ ステムに依存する。一少なくとも,アログラム・デープとマスタL−・ファイル・チープほ, (18) コンビヱ−・クー重から離れたところに保管されなければならない。 また,ポーク−は,デープおよびプログラムのライブリー機能紅おいて.も,十分な統制 手続が必要であるとして.いる。その理由ほ,ライブリ−への接近町対する厳格な統制は, 権限をもたない人びとがデー・プを入手し,設定された統制をあざむくことを防止するため に,維持されなければならないからである。 (19) さらに,内部および外部のテ・−プ・ヲベリング・システムおよびデープへの接近に対す ろ統制の他に,テープおよびプログラムのライプリ−を,能率的軋維持するために.,手続 および形式を設定しなければならないとしている。テープの能率的使用および統制を確保 するためには,ファイリングおよびテ・−−プの状襲華・ついて厳格な記録システムを維持しな けれはならない。このようなシステムは,つぎのような情報を提供する。 1)リL−ルの場所。 2)記入するため紅利用できるテ㌧−プ。 (16)∫み柑.,ppn 35∼36. 椚)了凝■♂.,p.36. ㈹.拍紘.,p.36. (1切1職■d.,p,.36. OLIVE 香川大学学術情報リポジトリ EI)PSに関する内部監査の問題について 41 ー 4ノー (20) 3∂ それぞれのテープの利用の事実。 〔.4〕手続的統制 −・且,経営者が,組織封画を決定し,管理的統制を設計すれば,経営者ほ,業務上の決 定を行なう人びとの業務上の責任および情報の必要性にしたがって,取引を記録し}処理 し,要約し,報会するシステムを作成しなければならない。ここで,ポ一夕−は.,このよ うなシステムを,つぎの3つの段階に分けて.,その統制の問題を論じている。 1)魔姶データの段階。 2)データ処理の段階。 (21) 3)報告段階。 (1)原始データの統制(SO11rCe data control) ポ一夕−は,原始デー・タ統制の目的として,つぎのようなものをあげている。 1)すべての取引が,発生または源泉の場所で,適切に・記録されていることを確かめ ること。 2)すべての取引が,記録場所から処理場所へ移送されていることを確かめること。 普通の原始文書が,まだ,使用されているEDPSでは,データ処理以前把・は,新しい統 制の問題は生じない。知識をもつ人びと紅よる原始文書の予備調査で,文字のあやまり, 聞達ったコ嶋ド,不合理な金額および他の不適当なデー・タが摘発されるであろう。つぎ に,パンチ・カー・ドまたはパンチ紙テー・プの重要な検証,バッチ・およぴコントロール・ト 一夕ルの利用,機械またほ「ハード・コピーー」リスティングは,すべての原始文書が,そ の後のEDP処理のため紅・,機械が読みとることができる形紅,正確紅転換されているこ とを確かめるため紅用いられるとして−いる。 (2$) さらに.,ポ一夕−は,原始文書が排除されているか,あるいは人による検討ができない 形になっているEDPSでは,適正な記録を保証するために・,基本的には,つぎの2っの方 法があるとしでいる。 1)統制を発生点紅移して,権限外の,あるいは.不当な使用を防止するために・,記録 (22) ∼ 7 3 ト p ▼J−ノ ▼〃▼’〃▼ ■わ︶一∧ r▲ .一一 ・●一 3 3 .,一 66・軋誠 3 ・一一 r▲ ︰d−α.d りd 御伽〓閥鰯 OLIVE 香川大学学術情報リポジトリ −42一 42 第41巻 第1号 および伝達装置への接近およぴそれらの使用を統制することができる。 ∂ 2)簡2の方法は,原始文書に対して二,人びとが行なうと同じ検討を,取引紅ついて, (4) コンビェ.−タ−・に行なわせることである。 EDPSは,コンビ.コークーの特性によって.,これによって処理された情報の各要素を検 査し,あるいは編集することについては,非常な能力をもっている。この編集過程は,イ ンプット(入力)記録に∴含まれた数患,金額およびその他のデー・タの妥当性および合理性 (26) に.ついて.,取引を検査し,承認あるいは拒否する能力をもっている。 コンビニ・−・クーの編集能力は,誤謬摘発目的の指令のプログラム紅チェ.ックを設定する ことによっでえられる。したがって,「プログラムド・チ.ェック」とよはれる。ポーク・− は,インプット(入力)・データまたは原始デー・タに関するプログラムド・チ∴ェツクとし て,つぎのようなものをあげている。 1)特定の取引コー・ドが,有効かどうか,あるいは認識番号が,正しいものであるか どうかを確かめるためのチ、=.ツク(実在怯または真正番号チ1.ツク(existence and valid number check))。 2)ある記録中の種々のデータの間に.存在する論理的関係を確かめるためのチ:=.ツク (結合チェック(COmbinationcheck))。 3)データ量が,あらかじめ定められた限度をこ.えるかどうかをしらぺるためのチェ (26) ック(リミット・チェ.ック(Iimit check))。 4)インプット(入力)が,完全であることを確かめるためのチ∴ェツク(完全性チJ (27) ック(COnpletenss check))。 (2)処理の統制(pr∝eSSing control) インプット(入力)・データの処理の正確性を確保するため紅設けられた処理の統制に ついて,ポータ・−は,つぎの3っの目的をあげているも 1)データの喪失または非処理の摘発。 傷心Jみ柑.,pp.37. 朗 〃蘭.,p.37. 鮒リミ.ット・チェ.ックは,一定額以上で処理されたものをプリントアウトさせるプログ ラムである。たとえば,通常の月給の小切手の支払額が千ドル以下であるとすれば,千 ドルをこえる小切手・に対しては例外のカードをプリントアクトすることを要求するブロ グラムである。R。L.Grinaker and Bl− Barr,Ob・Cit.,p・550 田)W.T。Porter,Ob・Ciriい,p.37. OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題について 43 − 43 −− 2)計算的機能が,正確に.行なわれていることを確かめること。 (28) 3)すべての取引が,適当な記録に転記されて.いることを確かめること。 ポーターは,処理の正確性が依存するものとして,1)プログヲミ・ソグの正確性,2) メー・カ−が設計し,機械装置に組みこんだチェック,および3)利用者が,そのプラミン グに含めたプログラムド・チェックをあげている。 1) 正確なプログラミソグ。 正確なプログラミングは,システム設計およぴプログラム。インストラクレョソの注意 深い考察および実施,適当なプログラムの文書化および十分な検討および承誼仁一ーそれら (29) すべてこは健全な実務である−一に依存する。 2) メ−カーが設罰し,機械装置に組みこんだチェック すべてのEDP機械装置のメーカー・は,デー・タが正確に読みとられ,処理され,システ ム把.移され,そして.アウトプット(出力)媒体に.記録されることを確保するため紅,機械 装置にチェ.ックを組みこんでいる。これらのチユ.ツクは,時には.,「ハ−・ドゥェア」コン トロールとよばれ,パリティー・チ.ヱ.ツク(parity checks),デ.コアル・リードーライト・ ヘッド(dualread−Writeheads),デ{アル・サーキットリ,−(dualcircuitry)およびプァ (80) イル・プロテクVヨン・リング(file protectionrings)を含む。 3) データ処理のプログラムド・チ.ェック ハー・ドゥ.=.ア・チ.ェ.ックに加k/{:,EDPSにおけるデー・タ処理の正確性は,プログラム rざ・チ∴ェ.ツクによってえられる。データの喪失または非処理を摘発するためのプログラム ($1) ド・チ.ェ.ックは,レコL−・ド・カウント(record counts),コントロ・−ル・トータル(COnt・ (82) roltotal)およぴハツV3.・トータル(hash total)およびV1−ケンス・チェック(SequenCe Checks)を含む。算術的計算のプログラムド・チ・ェツクは,リミット・チよツク,タロ 位靭J∂gd.,p.37. 但9)∫∂紀.,pい 37・ 鋤 一硝dりp.37. 飢レコ」−ド・カウントは,処理されたすぺての文書または記録を勘定するように・プログ ラムを組み,この結果と,事前に.確かめた総計とを比較する方法である。B・L・GIinか ker and B。BaIT,Ob..cit。,p.550. 脚 ハツレ.ユまたはノンセンス・トー・クルは,通常は,計算されないようなデータの合計を 求めることである。たとえば,送り状番号を合訂しておき,処理後紅,コンビ.ユータ−・が 計算した合計と比較する。この比較に・よって−,文書の追加または脱落を防止する。R・ L.Grinaker and B.Barr,Ob.cit。,p”550. OLIVE 香川大学学術情報リポジトリ 44 第41巻 第1号 −44 − ス・フッティング,バランス・チェ.ック,プロ十フ・フィギェ.ア,ゼロ・、バラソら/ングおよ (き3) び逆討罫を含む。 適正な転記のプログラムド。チ・、エツクは,ファイル・チェックとして.分頬され,ファイ ルと記録との関係の正確性およぴファイルの変更の正確性を確かめるため紅用いられる0 ファイル関係(fileconnections)の問題は,EDPSにおける重要な問題である。というの は,目で読撃とることができる記録がないからであり,また,間違った情報が,容易に・, 磁気テープおよびディスクに書かれるからである。こゐようなチ悠.ツクは,テープ・ラベ ル,認識番号比較および保管手続を含む。 しSl) (3)’アウトプット(出力)の統制 ポータ・−は,アウトプットの統制の機能ほ,、処理されたデータ紅,コンビ.コ.−タ・−操作 書肝瞳.よって権限外の変更が加えられてこいないこと,データ処理で発見されたすぺて.の誤 ($5) 謬が訂正されたこと どのようなシステムに.おいても,最大の統制の1つは,インプット(入力)を行なった 人びとが,アウトプット・デー・タを検討し,必要な訂正を行なうことである。この検討 は,通常は,異常な項目の調査からなっている。上のような計画的な統制を使用すること ($6) は,例外報告と結合して,必要な行動をとる糞任者の能力を,実際に強化する。 もっとも基本的なアウトプット(出力)統制は,処理されたデータのコントロ・−ル・十 一夕ルと,処理以前の,あるいは原始データから独立紅入手されたトー・タルとの比較であ る。もう1っのアウトプット(出力)の統制は,処理された個別的項目の組織的サンプリ ングである。その調査は,インプット(入力)を行なった人びと,統制部門または内部監 (37) 査人によって行なわれるとしている。 〔4〕システム立案 昇一タ−・は,さらに,監査人は,また,組織に.おけるシステム立案機能も評価しなけれ ばならないとする。シ′ステム立案には,長期の導入期間,急速な技術的変化および大規模 な投資が含まれ畠ので,成文化されたレステム立案の引画が,機械装置の選択,機械装置 W川和∵〃川 ●−. p p .●I .−■ a∵広 鍋錮脚㈹附 ● ■●− OLIVE 香川大学学術情報リポジトリ EDPS紅関する内部監査の問題について 45 −イβ − 適用の優先権の決定,インチグレイテッド・インフオ・メ−・ション・システム払おける種々 のサブシステムの設計および実施のために,蛋要である。監査人ほ,このようなシステム 立案計画を評価し,かつ5年ないし10年の間に.企業が行なうことを決定し,計画期間中紅 生ずる変化を能率的に管理するために.,人および機械などの適当な資源を集めなけれほな らない有能な人びとの知識および経験の収集の有効性を確かめる立場に.なけれほならない (88) としている。 システム立案を検討する場合紅,監査人は,機械化される適用領域の種類紅.,∵特紅注意 しなければならないとして:いる。というのは,歴史的に,会計面への適用に関心がもたれ ていて,おそらく,それよりもずっと利益が大きい経営計画および統制への適用について の関心が,非常に.少なかったという¢ことが多かったので,このような面への適用に関心 (S9) をもたなければならないからである。 最後に,ポ−・ダー・は,システム立案機能の評価に糾、て.,システムによって作りだされ た報告書中の情報のすぺてが,経営目的に.絶対庭必要であるかどうかを,確かめなければ ならないとする。例外に.よる経営の原則ほ,よくいわれるけれども,なかなか実行されな いものである。実際に.ほ,機械化されたシステムの報告書ほ,「途方もなく長く,途方も なく複雑で,非常にたいくつで,しかも同じように非常に簡単な」ものとして.,特徴づけ られてきた。監査人ほ,機械化されたデータの利用者の情報の必要性を評価し,この必要 (40) が有効にみたされるために.,重要な役割を果すことができるとする。 イ6〕事 これまでのべてきたことを,ポ−・タ・−ほ,つぎのように要約している。経営情報リステ ムの有効な設計および開発にほ,統制の形成および評価に・,相当の時間および労力を費や すことが必要である。このような努力は,コンピ.ユータ−の能力を,一もっとも能率的紅利 用し,ふっデー・タ処理の費用む統制するために必要である。ちの論文では,現在のEDPS のハードク.ェ.ア能力に一激する統制組織を設計し,設定するために.,EDPS紅おける主要 な統制に注意してきた。内部監査人は,これらの統制の存在および有効性を決定すること に.よって,丑DPSにおいて重要な役割を演じることができるのである。 梱Jわ紹.,p.:蛤. B9)∫∂∠甘.,p.38. ㈹J∂摘.,pp.38∼39. 極1)′∂露..p.39こ (41) OLIVE 香川大学学術情報リポジトリ 1− 46 − 第41巻 欝1号 46 以上,ポー・クー・の見解を,そのままの形で紹介してきたが,ここで,簡単紅まとめ,か つ若干の所見をのぺでおこう。 まず,ポ−\ターは,EDPSに・おける内部監査の目的を,経営情報の正確性および十分性 を確保するために・,EDPSにおける統制の存在および有効性を決定することとする。つぎ 紅,EDPSに・おける統制の評価を,組織討画,管理統制,手続的統制およびレステム立案 の4つの監査領域に分ける。 組織計画に‥おいては,機能の分割として,EDPSにおいてほ,システム設計およびプロ グラミング機能,機械操作機能,プログラム管理およびテープ・ライプラリ一機能の分割 が重要に.なるとしている。 つぎ紅,管理的統制ほ,システム設計,プログヲぎソタぉよびコンビ.コ.−・タ一億作紅お ける事務手続の制定および文書化に結びつける。 システム設計においては・,データ・システム調査とデータ・システム研究に・分けて.,そ れぞれに必要な統制手続紅必要な要件を示してこいる。第2のプログラミングの事務手続把 おける統制に・ついては,プログラム作成に関するすべて.の面の明確な文書化,プログラム ・ラン・ブックおよびコンソール・ラン・ブックの作成,プログラミングの基準の設定,プ ログラムの変更に・ついての文書化された手続などを必要としている。第3のコンビ.ユ.−・タ 一操作手続に・おける統制では,コンビユ.−・タ、一利用記録,プログラム・テ十プとマスタ− ファイル・テ㌧−プのコンビ,コ.一夕一室から離れた場所での保管計画,プログラムおよびテ ープのライブラリ機能紅対する統制手続の設定,ファイリングおよびテープの状態紅つい ての記録手続の設定などをあげている。 さらに・,手続的統制については,取引を記録し,処理し,要約し,報告する手続を,原 始デー・タ段階,データ処理段階,報告段階の3っに分けて分析している。 原始データの段階では,記録および伝達装置への接近および使用の統制とプログラムド ・チェγクによろて,適正な記録が保証される。プログラムド・チェックとしては,実在 性チふツク,結合チ・,エ.ツク,限度チェックおよび完全性チ・.ェ.ツクをあげて:いる。 処理段階における手続の統制としては,プログラミングの正確性,機械装置のチ.ェ.ッ ク,プログラムド・チ.ェ.ックを,評価すべき事項として示している。プログラムド・チェ ックとしては,デー・タの喪失または非処理を摘発するもの,算術的計算紅関するもの,適 正な転記に関するものをあげている。 報告段階における手続的統制として:は,インプットを行なった人びとに.よるアクトプッ OLIVE 香川大学学術情報リポジトリ 丑DPSに関する内部監査の問題虹ついて ー47 ー47 − トの検討,処理された?ソトロ−ル・トータルと原始データ把よるトータルとの比較,処 理された項目の組織的サンプリングをあげている。 最後解.,システム立案紅関する統制についてほ,システム立案計画を評価し,とくに, そ・の適用領域紅注意しなければならないとしてこいる。また,作りだされる報告書申の情報 の必要性の検討も必要としている。 以上のようなポ−・ターの見解は,EI)PSの出現に.対する内部監査の対応の仕方として ほ,きわめて.,オ−ソドックスなものといえる。それほ,内部監査ほ,基本的に・,企業の 内部統制組織の各構成要素が,十分に整備され,かつそれが有効的に機能してこいるかどう かを評価するのを,その目的として:いるので,EDPSの内部監査に.おいでも,それに・関す る内部統制を評価するのが,基本的方向であるからである。また,EDPSが出現する前の 内部監査人の知識および経験からしてこも,このような領域に.,右の機能を拡張していくの は,技術的に.それほど困難ではない。 ポー・クー鱒,EDPSに関する内部統制組織の構成要素を,組織,管理,手続,計画紅つ いて,詳細に明らかにしていることは.,非常に.有用であるが,必ずしも,内部統制組織の 意味が明確でほない。また,EDPSの内部監査は,その技術的構造に・,より深く立ち入っ てこ監査する必要がないかという問題が残されでいる。さらに,EDPの導入の経済性およ び利用の有効性をも,内部監査の問題として,とり入れなければならないかといラ問題も 残されている。 ⅠⅠⅠコンピューターの監査手続への利用 つぎぬ.,EDP自体を,積極的に利用しようというW‖S.ポ−・テルの「監査手続に有用な (42) コンビ.コ.叫クー技術」という論文を紹介する。ボーテルは,さきに『コンビェ・−・クー紅よる 監査』という著督で,EDPの監査問題をとりあげている。この著書でほ,主として外部監 査の観点からとりあげているのであるが,『■内部監査人』誌上に.おいて,同じような主張を 行なっているこの論文を発表したのほ.,内部監査においでも,コンピュータ・−が,その監 査手続に肩用であることを主張しようとしているものと思われる。 l 〔1〕コンビュ・一夕ー技術と監査証跡 ポ−テルは,EDPSの統制の検討は,監査人がコンビ.ユータ・一枝術を使用する場合の必 t42)W.S”Boutell,〃Comp11ter Techniques Usefulto the A11ditor’,TheInternal Auditor,fall1967,pp.27∼32. OLIVE 香川大学学術情報リポジトリ 欝41巻 欝1号 − 4β−・ 48 要条件であるとし,これらの技術を,つぎの2つの種類に分けることができるとする。 1) 第1に,コンビ、。−タ−・は,監査人の道具としで利用することができる。もし も,コンビ.ユータ−が,1万台の卓上計算器に匹敵する計算ができるとすれば,監査業務 を非常に迅速に行なう利益がえられるので,その可能性のすぺてを研究しなければならな いということほ,明らかなように思われるとする。 2) 第2に,監査手続を,現在の監査手続よりも,もっと能率的紅,そして異なった 方法で行なうのに,コンビ.ユ一夕ーを利用するこ.とが可能である。 (4$) この2っの種類のコンビ.ユ.−タ−・技術のいずれも,.利用することができる作業的方法が あるこ.とを意味する。このことは,今日の第2期のバッチ・コントロールド・システムに あて.はまる。しかし,第3期のコンビふ−・クー・装置の出現紅よって,監査人が,∈のよう な選択を行なえないことも,ありうることに.なった。もしも,いわゆる「監査証跡(a雨it tI■ail)」がなくなった場合に.は,監査人は,この監査証跡を作りな和す方法を考えなけれ ば,監査業務を満足的に行なうことほできない。これ鱒,われわれのすべて:が,監査人に 有用なコンピューター技術の相対的利点を考慮する場合に,留意してこおかなければならな (44) いこ.とであるとする。 〔2‘〕コンピューター監査プログラム そこで,ボーテルは,コンビ.ユータ、−せ,監査人の道具として使用することに.ついて考 察をすすめ,コンビ.コ∴一夕ー・監査プログラムについで説明している。監査人が監査しよう とする記録の多くは,パンチカ−ド・ファイルまたは磁気テ∵−プ・り一∵ルに.含まれている ので,通常ほ,そのファイルをプリントアクトして−,監査人がこのプリントアクトしたも のから,試査すべき項目の分析または選択するように要求することが必要である。監査人 は,この目的を達成するためのコンビュ一夕ー・プログラムを作成することができる。あ る会計士事務所は,このことのための標準的プログラムをもっている。空軍および陸軍監 (45) 査局も,また,この種のものに.ついては,相当の研究成果をあげている。 たとえば,ファイルから,統計的に正しいサンプルを選択したいと仮定しよう。コンビ ユ.L−・タ一監査プログラムは,カードまたはテ・−プかのどちらかの,機械が読みとることが − できるデータから,監査人が,設定した基準に基づいて,統計的に正しいサンプルを選択 p 2727 −匹 ■−一 .■■ ▼〃▼ ■力﹀−力 27 少 −●l ,α ﹂α.d †ノ ▼−一r▲ ㈹㈱㈹ OLIVE 香川大学学術情報リポジトリ 49 EDPSに関する内部監査の問題紅ついて −4クー する。こ.のコンビヱ.一夕ー・監査プログラムは,1,2ぺ−ジのコンビコ−タ−‥コ・−ディソ グを含み,乱数発生機構を加えた衝撃なものである。コンビ.ユータ−監査プログラムのア ワトプットほ,通常の方法で監査できるサンプル。データーである。 (4¢) コンビユークー監査プログラムほ,多くの目的のために.作成される。コンビュ−タ一監 査プログラムほ,加算および乗算計算を検討するために用いられるっ機械が読みとること ができるデー・タのコンビュ.−・クー化されたファイルに.含まれた情報の合理性をチふツクす (47) るために,用いられる。 監査人は,また,監査調苔を実際に作成するために.使用されるコンビュ.−クー‥プログ ラムを,自分で作成したり,あるいはかれの支配下のものに作成させたりすることができ る。多くの情報が,すでに機械が読みとることができる形になっているので,痙査人は, コンビ,ユー・タ−化されたファイルからの選択的プリントアクトを要求し,このプリントア クトを監査調香として用いることができる 。この後者の提案は,データ処理担当者に.対す る多くのノ、−ド・コピ−・レポートの要求を相当に減らすことができ,そして,また,監査 スタッフの監査調雷作成のための時間のかかる仕事の多くを減らすことができる。 (48) そこで,ポ−テルは,監査紅コンビ.ユークーを利用することの有用性を,つぎのように 強調するとともに.,その限界を注意している。すなわち,監査人に対する補助としてのコ ンピューターの可能性ほ無限である。監査人の想像力と器用さだけが制限的要素である。 しかし,コンビ.コ−タ−・の道具としての使用は,通常の監査手続を・補うだけ■であることに 注意しなければならない。それは,監査人が,現在行なっている監査手凝にとって代わる (49) ものではない。 〔3〕コンピューター・システム さきに.,ボーテルほ,ある監査手続を実際紀行なうために.,コンビ.ユ一夕−・を使用でき ることをのぺた。このアブロ−チを理解するためには,コンビュ一夕化されたシステムの 要素を考察しなければならないとし,ポTデルは,つぎのような単純な図によって−,これ (50) らの重要な要素を示している。 舶 ′∂よ富.,pp.27∼28. (4ⅥJ鋸dJp.28い ㈹」賊♂.,p.28. (49)∫∂掃.,p.28.. 伽)∫∂査■d.,pp.28へ・29. OLIVE 香川大学学術情報リポジトリ \ 50 第41巻 第1号 ・− 50 一− イ ンプット プロセも/ング (入力) アウトプット (出力) ポ−テフレほ,このインプット(入力),プロセシ∵ソグ,アウトプット(出力)の3つの 要素に関連させて,監査業務をつぎのように.説明する。すなわち内部統制組織の十分性を 検訂するた吟の監査手続ほプロセレングに向けられ,財務諸表上の残高を検証するための 監査手続はアウトプット(出力)に向けられる。インプット(入力)の領域においでは, 監査人ほ,非常な困難紅出会う。というのは,こ.の領域に・おいては,コンビ.ユークーは, 限られた補助としかならないからである。コンビ.ユ.一夕」−・プログラムは,インプット (入力)データの合理性(すなわち,数塁的データの最大限度または最′J、限度)をチェッ クすることができる 。また,正しい部分数値,正しい比率,正しい従業員数をチ・.ェツクす るプログラム・コントロ∵ルを考案することができる 。しかし,コンビユーターはデー・タ ーせ正確紅チ悠ツクすることほできない。なお,監査人は,取引の証拠が原始文書に適正 に記録されて.いることを,確かめる必要がある。また,監査人は,原始文書がコンビ.ユ.− クー・インプット(入力)としてうけいれられる形に転換される手続を検討することが必 要である。たとえば,原始文書が,オぺレ−・タ一に.よって:,キ−・・パンチされ,つぎのオ ぺレー・タ一に.よって二検討されるならば,この転換手続紅対する監査人の検討は,最小限皮 紅とどめることができる。他方においても,もしも,デー・タがキー・・パンチされても,他 把.それを検討するものがいなくて,コンビ.ユータ−・プログラムだけに依存するというな らば,その場合に.は,監査人は,インプット領域における監査手続を相当に増加しなけれ ばならない。要約すれば,コンビユ一夕−・ほ,インプット(入力)・データに対しては, 限られた検討しか行なえない。そこで,ポ−テルは監査人の手作業に.よる手続は,コンビ (61) ,一夕 〔4〕監査証跡の利用 ポ−テルほ,インプッ 明しでいる。すなわち,データが,機械が読みとることができる形に転換されたのちほ, データの処理は,コンビ.ユ−タ−・プログラムの統制下紅おかれる。データが,適正に処 理されでいることを確かめるのほ,監査人の安住である。もしも,監査人が,企業に・発生 した取引が,処理領域に・適正に導<されていることを確かめ,そして,処理が,実際紅, (51)∫∂よ■d..,pり 29.、 OLIVE 香川大学学術情報リポジトリ 51 EDPSに関する内部監査の問題について −βJ・− 正確に行なわれていることを確かめることができるならば,そのアウトプット(出力) は,処理された取引の結果を,適正にあらわしているということができる。監査人が,こ のことを達成するためのもっとも単純な方法は,インプット(入力)とアウトプット(出 力)との間に,橋をかけることである。この橋は.,「監査証跡」とよばれてきた。そし (52) て−,ボーテルは,このことを,つぎのように図示する。 実際のインプ ット(入力) 実際のアウト 監査証跡 プット(出力) 川・→ コンビユ.一夕ー・なしの監査 もしも,監査人が,インプット(入力)をアウトプット(出力)に,適正に転換されて いることを確かめることができれば,監査人は,処理機能を詳細に検査することなく,処 理を検証するこ.とができる。このアプロ∴チは,EpPSについて少しの知識が必要なだけ であり,コンピューター化された会計組織を検討するためのもっとも初歩的な方法であ る。これは,いろんな名前でよだれて−いるが,とくに「コンビー。−・クー・のまわりの監査 (auditingaroundthecomputer)」とよばれ,あるいは幾分じようだんめかして,「コンビlユ ーターせカエルとびする(1eapfroggingthecomputer)」とよばれることもあった。より最 近では,この監査技術を,「−=ソピュ−・タ−なしの監査(AuditingWithouttheComputer)」 とよぷようにならてきている。この監査技術は,多くのプリントアウトまたは・,監査人に 相当の仕事を要求するけれども,今日,なお,適切性を認められているという0 (5$) 〔5〕テスト・デック 上のような種類の方法に刺して:,ポ−テルは,利用できるもう1っめ種類の監査技術と して,「コンビ.ユ一夕qを通して:の監査(AuditingThroughtheComputer)」をあげ, つぎのように.説明している。 これについ{:は,より説明的な名称として「∵コンビュ−タqによる監査(AuditingWith theComputer」)が提案され{:きた。このアブロ−チと「コンビュ一夕q・なしの監査」との 本質的差異は,監査人が,処理を直接に検証することである。このアブロ」−・チの背後の理 論を,ボーテルは,づぎのように図示している。 (52)′みよ■dりp.29. 個 ∫∂紀.,pp.29∼30. (5劇 j働d.,pい 30い (朗) OLIVE 香川大学学術情報リポジトリ −52一 52 寛41巻 第1号 ・.・・し∴・..:●・ プロダクション プログラム テスト・デック →l声音指;て応力) 監査人の計算結果 システムに対する統制を検査したあとで,監査人ほ,種々のデータをプログラムによっ て処理する方法を研究することを目的とする,一一遇のテスト状況を考案する。たとえば, 給料のテスト・デックにおいては,コンピューターが,病気の従業員数,超過時間または 税金控除計算をとりあつかう方法は,監査人が調査しようと思う重要な領域である。これ らのシ.ユミレィテッド。テスト・シチュエーrジョンは,パンチ・カード形式に転換され, プロダクレヨン・プログラムで処理される。監査人は,自分のテスト・カ−ドの結果を手 作業で計算するので,監査人は,自分の計算したアウトプット(出力)とプロダクレヨン プログラムに.よって.作りだされたアウトプット(出力)とを比較し,処理が適正に.行なわ れたかどうかについての結論をだすことができる。テスト・デックの方法は,コンビュ− タ−・プログラムを「ヂパッキング」する場合に,コンビ.ユーー・ター・・プログラマー一によっ で使用される方法であり,内部監査人と外部監査人の双方によって:,現在使用されてい る。テスト・デックによって,監査人は,プロダクレヨン・プログラムに.とりいれられて いる処理統制をチ・よツクすることができる 。この技術は,監査人が,独立紅,もしくは他 の手続と⊥緒紅用いることができる (65) が管理しているプロダクレヨン・プログラムのコピーを利用することである。 〔6〕コンビコ∴一夕−・プログラムの監査人のコピー 監査人が,プログラムのコントロールド・コピ−を使用する場合紅ついで,ポL−テ■ル は,つぎのように説明している。 監査人は,データ処理部門から,プロタクシヨン・プログラムのコピ・−をうけとり,詳 細なプログラムの論痙を検討するか,あるいは独立のプログラマ・−・に・その論理を検討させ る。監査人は,プログラムのコントロ−ルド・コピー、をもっている′ので,監査人は,その プログラム・コピ・−で,実際のインプット(入力)デー・タを処理し,つぎの図のように, (56) 比較を行なう。 鮎)∫∂jゼ.,pp..30∼31. 伽)J凝d.,p.31‖ OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題について 53 実魔のインプッ ト(入力) プログラムの コソナロールド ・コピー − ββ − 計算されたアウ トプット(出力) ▲ プログラムのコントロールド・コピー ■ 実隙のアウト プット また,ポー「・テルは,監査人は,できれば,EDPSの計画および設定に参加するのがのぞ ましいことを指摘する。これは,監査人の業務を簡単にし、プロダクション・プログラム の論理に関する知識を豊富にすることができ,したがって,プログラムの論理を評価する 場合に.,外部のものに依存することが少なくなる。この方法ほ,外部監査人よりも,内部 監査人の必要性によりよく通用する。そして,監査期間に.よるプロダクレヨン・プログラ ムの大きな変更を禁止するこ.とは,特別のEDPの適用を検討する反覆兼務を簡単にす (57) る。 〔7〕コンビュー・夕・−・オージット・モデル さらに,ボーテルは,監査人が,自分のプログラムをもつぺきであるという理論を,よ り一層,展開して,このための適当な手段は,監査人が,プロダクレヨン。プログラムの コピ一紅頼るよりも,むしろ,自分自身のプログラムを作成することを提案し,つぎのよ うに説明している。なお,ポー・テルほ,こ.の点に関して,とく紅内部監査人の問題把・重点 をおいている。 内部監査人は.,内部監査人として.の学識および経験把・よって,会計システムの能率およ び信頼性について−,最良の判断を行なうことができる。もしも,このシステムが磯城化さ れれば,内部監査人は,このシステムを運用する方法を評価する立場になければならな い。内部監査人が,このことをできるというのであれは,かれほ,また,プログラムまた は少なくともコンビヱ.−ダー・システムに与えられた目的を,鹿足的に達成するプログラ ム・フロー・・チヤ一卜を設計できなければならない。もしも,内部監査人が,自分のプロ グラムを実際のインプット(入力)デー・タで行ない,自己のアウトプット(出力)とプロ ダクション・プログラムのアウ 検証することができる。この方法は,T■コンビ.1・−ター・オ−・ジット・モデル(ComputeI (58) Audit Model」)とよはれる。 6Ⅵ ∫∂摘.,p.31・ 6劫 ∫∂材.,p.311. OLIVE 香川大学学術情報リポジトリ − ふ4 −− 第41巻 算1号 54 ホーテルは,こ・のように・,監査人が,プログラムを,自分で,あるいは助けをかりて.作 成すれば,上紅のぺたこと以上に・,いくつかの重要な目的を達成できるとしてこいる?たと えば,「コンピュータ−・カーージット。モデル」は,プロダクレヨン・プログラムの重要 な領域だけを試査するような方法で作成することができる。最後に,統討的サンプリング 手続に・よって.,ある程度の正確性および信顆性の範囲内で,コンビユ一夕一に,実際に, 処理が,ある基準内で承認できるかどうかの決定を要求することができる 。コンビコ∴−・タ (59) −。オー汐ット・モデルの簡単な図により,このアブロ−・チ・に必要な要素を示している。 実際のインプ 監査人のプロ グラム ット(入力) 監査人のアウト プット(出力) 例 外 り.スティング コンビヱ−タ−・オー汐ット・モデル 実際のアウトプ ット(出力) これらの技術の複雑性が増加するに・したがって,監査を担当する監査人には,より多く の知識が要求されるよう紅なる。「コンビュー・タ・−、紅よる監査」の理論紅よる3つのアプ ローチのすべてにおいて,監査人は,コンソ−ルを統制するか,少なくともテスト・デッ クまたほ監査人のプログラムの運転に立ち会わなければならないということを,強調しな ければならない。このことは,監査人は,コンソール・オぺレーータ−・がプログラムの操作 をさまたげていないことを確かめるのに十分な知識を,コンビ.ユ.一夕−・の操作紅ついて (60) もたなければならないことを意味する。 もしも,妨害が生じる場合紅は,監査人は,もらろん自己の独立性を失う。また,監査 人は,処理および検討すべきレスデムに結合された処理統制の十分性について−独立や判断 を行なう権利を失わないことを強調しなけれはならない。最後に成定を行なわなければな らないのほ監査人である。換言すれは,コンビ.コ.一夕ーーは,監査人の,このような仕事を (61) 補助することができるだけである。 最後紅,ポ・一子ルは,つぎのような注意を与えて,この論文を結んでいる。 との論文のはじめに,われわれは,多くの場合紅,方法の選択ができるという幸福な立 場に・あるということを示した。しかし,5年から10年の間紅,このような選択がなくなる 伽)′∂柑.,pp.31∼32. 伯Ⅷ ∫∂∼dい,p.32,. (61)∫∂摘.,p..32. OLIVE 香川大学学術情報リポジトリ EDPS紅関する内部監査の問題紅ついて 55 − β5 − であろう。策3期のコンビュ.一夕ー,インタ■−アクチブ・コンビコ.−テングおよぴリモー ト・バッチ・プロセ;/ングの出現紅よって,われわれが,これまでのべたよりも,複雑な 監査技術むとらなければならなくなる。われわれは,コンビヱ.−クーおよびコンビ.ユ.一夕 ー・プログラミソグについて,われわれがなしうるすべて∵を学ぶぺき義務があるよう紅思 われる。最後に,われわれは,コンビニ.一夕ーの利用技術をしらなけれはならないばかりで なく,われわれは,また,われわれ自身の研究によってニ,われ で,実験的に.技術を適用することに.よっで,これらの技術の限界を研究しなければならな (62) い。 以上のボーテルの所説を簡単に.まとめて:おこう。ポー・テルは,外部監査人および内部監 査人の監査業務償対するEDPSの影響を認識し,コンビ.ユ.−・クーを,監査人の有用な補助 草して利用して−,監査を行なうことを主張する。すなわち,伝統的な監査証跡に㌧載る, 「コンビュ.嶋ター・めまわりの監査」,あるいは「コンビぷ∵一夕ーなしの監査」から,「コン ビーユ.一夕ーを通じてこの監査」あるいは「コンビ.ユ.一夕ー把.よる監査」への移行をといてい る。 「コンビ.。.一夕一一・に.よる監査」は,コンビュ.−タ−監査プログラムといわれ,統計的紅 正しいサンプルの選択,加算および乗算の検討,コンビニ.−・クー・のファイルに・含まれた情 報の合理性のチ・ェ・ツク,監査調香の作成など紅用いられる。 このようなコンビふ一夕ーの監査解.対する補助の可能性は蘭限であるが,それは,現在 の監査手続紅とって∴代わるものではなく,それを補うだけに・すぎないという注意ほ塵要で ある。 さら紅,ボーテルは,このアプローチを説明するために.,コンビ,ユー・ター・システムの 要素を,インプッt,プロセシ∵ソグ,アウトプットに分けて説明する。インプットの領域 では,コンビェ.−・クーほ,データ一に対しては限られた検討しかできないので,監査人の 手作共による手続が支配的であるとしてこいる。 プロセシ∵ングの領域でほ,伝統的な監査証跡に頼る「コンビュ一夕・−のまわりの監査」 では,多くのプリントアクトまたは相当の監査兼務を要求する。 これに対して,「コンビ.ユ・山・ダーによる監査」として,監査人が直接紅プロセシ∵ングを 侶笥 ′み£d.,p.33. OLIVE 香川大学学術情報リポジトリ ー 5β − 56 第41巻 第1号 検証するアプローチを提案する。このような方法として,ボーテルはタ テスト・デック, 監査人のプログラム・コピ−およびコンビ、ユ∴一夕ー・か−クット・モデルの3つをあげて いる。 テスト・デックほ,あるテスト状況を想定し,自分の計算したアウトプットとプロタク シヨン・プログラムによるアウトプットとを比較して,処理の適正性を確かめる方法であ る。プログラムのコントロ−ルド・コピ−・による方法は,監査人が,データ処理部門から プロタクシヨン。プログラムをうけとり,その論理を検討し,それによって実際のインプ ット・データを処理し,実際のアウトプットと比較するものである。コンビ、ユ.一夕ー・オ −ジット・モデル咋,より積極的に,自分で,監査の目的に必要なアウトプットをえるよ うにプログラムを作成する方法である。 このように.,ボーテルは,コンビ.ユ一夕ー・の監査に.ついて,より複雑な技術が必要に.な ることを予憩して,積極的に・それに取り阻まなけれはならないとするのであるpしたがっ て,それは,コンビュ.−ダーに関して−,より専門的な知識を,監査人匿.要求する方向に進 むであろう。 ⅠV EDP管理の内部監査 しd:l\ ここでは,A・Lレイノルズの「EDP管理の評価」と題する論文を紹介する。さきのポ 一夕ーー・が,EDPSに.おける統制の構成要素の分析に重点をおき,また,ポ−・テルが,監査 手続紅おける利用技術に.重点をおいたの紅対して,ここにのぺるレイノルズは,EDPの内 部監査を,EDPの管理の評価という観点から論じている。 〔ト〕EDP管理の監査の重要性 EDPに関する内部監査の役割ほ,従来の範囲をこえて二拡張されなけれはならないとし て,レイノルズは,つぎのように説明して−いる。 すなわち,従来は,EDPに.関して,内部監査は,システム設計を援助し,オ・−トメ化され たシステムを調査および換証するものとされていた。内部監査の役割を,このような範囲 に限定しセしまうと,ミ/ヌテムの設計および維持かち機械装置の据え付けおよび操作まで に尤大な投資を要するEDP管理という重大な領域を見逃がしてしまうことに.なる。これら の管理には,機械装置の負借料または購入費用に匹敵ナるか,あるいはそれ以上の費用が (63)A,L.Reynolds,“Evaluating EDP Mamagement”,ThelnieYInalAuditor,Summer 1967,pp.26∼34日 OLIVE 香川大学学術情報リポジトリ EDPS紅関する内部監査の問題について 57 −57−− かかるので,このEDP管理の有効性,さらにはその改善による費用の節減をも問題に.しな (64) ければならない。 そこで,EDP管理の評価の藍要性を示すものとして−,レイノルズは,つぎのような例を あげている。 その寛1の例は,EDP装置の導入を,賃借によるか,買取りに.よるかの決定に関するも のである。すなわち,従来の事例を検討してみると,メ−カ−・からの賃借が,ほとんど自 動的紅行なわれ,それが「認められた取引慣行.」としで正当イヒされていた。この度因は, 経営者に贋借,長期のリース,セ−・ル・アンド・リース・バック,買取りなどの費用に.つい (65) ての比較資料あるいは正確な情報が提供されてし、なかった、ことである。 滞2の例は,EDPのアウトプットの必要性および利用の評価によって,EDP管理の不 十分性がが判明したというものである。ある場合には,相当の資料が,EDPの記録と重複 して,手作業に.よって作成されていたことが判明したが,このことは,レスデム設計が, 必要なデータを提供しなかったか,あるいほ報告の必要性を考慮しなかったために生じた のである。また,他の場合に.は,現在のEDPシ′ステムを拡張することに.よって,幸作菓の システム把.おきかえ,手作業の記録をオートメ化し,年36万ドルもかかる争作業紅よる記 録を行なう90人の職員を配置がえできろことが明らかにされた。 (66) レイノルズは,上記のような例をあげること紅よって,EDP管理に対する内部監査の重 要性を説明し,ざらにすすんで,大規模な適用および相当のオートメ化が存在する場合の EDP管理の評価を考察し,その監査手引(audit g11id寧)を提案している。なお,レイノル ズは,ここに提案した監査手引は,若干の修正を加えれば,大部分の場合に適用可能であ るとしている。また,この監査手引は,すべてを包括するものではないが,EDP管理に く67) 重大な欠点が生じるおそれがある領域の検討を示すものであるとしている。 〔2〕EpP導入に関する監査 (り EDP装置導入の評価の問題点 EDPSは,長期間におよぶ,複雑かつ費用のかかる適用研究,システム設計研究およぴ プログラミソグを含む。EDP装置導入のプロセスは,1組の行為の連続である。 (6る) .■〇 p p p ’β▼ 乙〃 ■〃− 7 7 2 2 “ ■力︶ ▼〃▼ TJ ▼−︻−−一 りα リ仏 ソ .■♪ 7 2 ・g 6 ・〃〇 p2 ″ 6 2 .〃グ r▲−−▲ 宜∴欄 OLIVE 香川大学学術情報リポジトリ 寛41巻 第1弓 −−5β− 58 そこで,レイノルズほ,まず,現在の手続を評価し,システムの改善を立案し,EDP操 作の適用の全体的妥当性を確かめるため紅は,十分な予備調査または適用可能性研究 (feasibilitystudy)が必要であるとしている。適用可能性研究紅よって,費用節減,能率 またはその他の利点などの,提案するシステムの目的を設定する云また,用地の準備,要 員の補充および教育訓練,操作,プログラミングおよびプログラム・リスティソグの作成 (69) および機械装置の引き渡し 適用可能性研究の結果,EDP装置の導入が妥当と認められると,適用研究(application St11dy)が行なわれる。こ.れについては,レイノルズは,つぎのように説明している。 適用研究は,データ処理システムを設計し,システムの明細雷,機械装置の評価および 選択および処理のための盛礎として行なわれる。たとえば,トータル・ストアド・データ の要件はもちろん,ランダム・アクセスまたは順次処理能力の必要性につぃての基本的な 決定およぴその他のシステム設封濫ついての決定は,機械装置の選択に影響するであろ う。もちろん,この手続を逆に.することもできるが,1ンステムの諸要件が機械装置の選択 を決めるというよりも,むしろ選択された機械装置の能力がシステム設計を決定するであ (70) ろう。 ところで,適用研究は,理想的に聴,経営者の贋料および報告書紅対する要求を目的付 して,既存のシステム,組織構造または慣行に.制約されない。それ故に.,システム設計 は,アウトプットという最終盤産物またほ獲得すべき目的から出発して,適用研究によっ て,データ処理の手凝および全体のデー・夕の源泉から目的への流れを決定す さらに,レイノルズは,システムの明細書についで,つぎのような説明を加えている。こ のシステムの明細讃は,特別のEDP装置の諸要件,インプットの源泉,鼠および媒体の明 細,マスター・・ファイルの種類,処理手続のフロ−‥チャー・トおよび補足的情報屈よびフ ァイル管理の情報を記述するものである。また,種々の機械装置の処理の時間および能力 の比較のために,典型的な処理問題を作成する。EDPのメ・−か一には,メ」−か−・の提案の 基礎として利用できるシステム明細意を提供する。メー・カ−の提案は,−・般に,コツピェ 一夕、−・の型,システムおよび仕事の負荷盟に対する推定運転時間,および機械装置の賃借 (72) 料および購入費を記述したものである。 Ⅳ1)ル紙,p. け2)′∂∠dりp.・ 7 7 8 8 2 2 2 2 (69)∫あ摘.,pn (70)イ朗■dりp・ OLIVE 香川大学学術情報リポジトリ EDPS把.関する内部監査の問題紅ついて 59 ー59− (2)メーカ−の提案の評価の問題点 レイノルズは,メーカー・の提案に対しては,つぎのような点を考慮しなければならな いとしている。 この評価は,システムの明細事項を達成するのに必要な機械装置の能力を決定するため に行なわれる。そこで,メー・カー・が提案した機械草置を,導入費用,プログラミソグおよ び機械装置の据え付けの費用を含む使用準備のたあの費用および操作の費用の点から分析 する。また,記載された機械装置の信兢性,提供される教育訓練およびその他のサ−ビス のような要素を考慮する。 引き渡されたコンビ.ユー・クーが,有効に利用されることを確保するためにほ,事前紅十 分に計画し,かつEDPシ′スデムを用意していなければならない。事前の計画ほ,機械装 置を受け取るまえに,何よりもまず,プログラムをテストし,デバックを要求するような EDP装置の使用を用意していなければならない。また,機械装置を受け取るまえに,実 際の用地を準備し,転換の手続,並行的操作および古いシステムの変更計画を作ってお (73) かなければならない。 レイノルズほ,これまでのぺてせたコンビュ.一夕ー導入過程の評価についてつぎの享う に.監査目的をまとめている。 十分な適用可能性研究は,EDP装置の導入手続を進行すべきかを,経営者が決定するた めの基礎の1っとして行なわれる。システムを設剖し,システムの明細書を作成し,そし て:EDP装置を選択する場合に,適当な手続を設定する。機械装置の引き渡しの時までに, その機械装置が有効紅利用されることを確保するために・,十分な手続を進行させる。機械 装置を賃借するか,リースするかあるいは買しミ取るかは,正確な費用の資料およびその他 (74) の適当な諸要件に基づいて決定する。 それぞれの導入過程は,それが行なわれるときに検討されることがのぞましい。このこ とが実行不可儲な場合にほ,監査時紅利用可能な歴史的資料に・よって,機械装恩導入の監 (75) 査は制約され,あるいは全く排除される。 2 2 2 ︵B 8▼ 8 p p d d p ・f ・′● .●‘ ∂’ハレ’八U −J−/ ▼ノ ゼ OLIVE 香川大学学術情報リポジトリ ー飢トー 第411巻 寛1号 〔3〕EDP導入過程に閲する監査手続 レイノルズは,以上のような考察に基づいて,EDP導入過程の評価に関する監査手引と (ア6) して,つぎの12の項目をあげて−いる。 1)適用可儲性研究を検討せよ。その結論カミ,会社の現在のデータ処理機能,現在のシ ステムでほ人事できない必要なデータを含む有効な経営管理軋必要な情報,手作業と伝統 的機械とEDP装置とによるデータ処理の費用と利益の比較などの分析に.基づいて,導かれ たものであるかどうかを確かめよ。 2)適用可能性研究チ−ムの少なくとも1人は,EDP装蘭の特性および能力についての 専門家であるかどうかを確かめよ。 3)適用研究が,システム設計を行なうときに,有効かつ信頼できる芋イ乍業のシステム を有しているか,あるいほ,すでにオー・トメ化されたレステ・ムを有しているかを確かめ よ。監査人がとくに関心をもつ点は,前の監査によって判明したシステムの重大な欠点が 認識され,そして改善したレステムを設定するまえに.,その欠点の改善が準徹されている かどうかということである。 4)適用研究を担当する人が,少なくともレスチム設計およびプログラミングについて の基礎的知識を有しているかどうかを確かめよ。適用研究チ−ムのカを指導し,システム 文沓化の手続を指定するために,標準的な業務手続が用いられでいるか。 5)プロ、−・チャート グリッド・チャ−ト,ファイル・レイアウトおよびその他のシ ステムの文書化を,適用研究の観点から分析せよ。システム設詔が,十分に文書化されで いるか。共通の原始データの複合的利用,システムの最初の実際的箇所での原始デー・タの 機械語への転換,例外紅よる経営の報告・およびシステムの能率的経営のために.,同じよう な考慮がはらわれているか。 6)システムの明細書を検討せよ。あるシステムの明細事項は,ランダム。アクセスの 要件または特定の記号の要件のように,コンビ.ユ.−タ−の選択におぃて制限的要素とな挙 であろう。このような明細事項の適当性を検討しなければならない。仕事の負荷盈咋,機 械装置の導入に関係のあるもう1っの領域である。とくに.関係のあるのは,仕事の負荷盈 が,機械装置の据え付け時およびそれ以後の,特別のEDPSの計画的利用の期間中の,仕 事の負荷愚の計画を反映しているかどうかということである。 ㈹」摘d.,pp.29∼30. 60 OLIVE 香川大学学術情報リポジトリ 61 EDPSに関する内部監査の問題に/ついて ー6J− 7)EDP要員を雇用し,指導し,かつ教育訓練し,そして:コンビコ (出力)データを業務の管理に利用する責任者を指導する行為を評価せよ。有資格のE工〉P 要点の需要ほ,その供給をはるかに超過する。したがって,雇用軋依存するよりも,むし ろ利用できる職員を再教育することが,しばしば必要になる。これまでの経験で明らか紅 なったところでほ,業務の管理のためのEDPアウトプット(出力)デー∴夕の受領および利 用は,これらのデータの利用が予想されるすべての経営管理者のために香効なカーリエンデ ージョン計画にかかっているということである。 8)機械装置の選択を検討せよ。この選択がプログラミングおよび機械装置据え付けの 蟄用,′提示された機械装置の信頼性および提供されるその他のサ−ビスのような扇形,無 形の要素を考慮したジステ∵ム要件に.対して十分であり,しかも巌偲の費用の機械に.基づい て行なわれていることを確かめよ。 9)機械装置の掘え付けの最終的計画を検討せよ。新旧システムの並行的操作のための 討画期間カ㍉発生が予想されるすべての種類の取引がコンビュ・一夕ー。プログラムにかかる のに十分な長さであるかどうかを確かめよ。最初のマスタ−・。ファイルの正確な作成を確 保するの紅十分な手続がとられて言いるかどうかを確かめよ。エラー・およびマシ∵ン・ダウ ン・タイムの記録を作成ん,分析する用意がなされているかどうかを確かめよ。コンビユ 一夕−を導入して,十分なプロダクレヨン業務が進行する準備が行なわれていることを保 証するために,計画設定およぴプログラミングが,十分に前もってL行なわれているか。 10)リ−スまたは買取りの研究を検討せよ。賃借および長期のリー∴スの費用が,利用 計画紅基づいていることを検討せよ。時々,行なわれる間違いは,複数交替が封画されて いるのに.,単一交替に基づいて費用を考えることである。買取り費用は,機械装置の実瞭 購入価額(新品または中古の機械装置として)から残存価額を控除し,維持軌税金およ び現在の利子率のようなそ・の他の適当な費用の要素を考慮しなければならない。リ・−・スお よび買取り費用は,構成部分毎に検討しなけれはならない。というのは,ある構成部分の 購入は,他の構成要素の購入よりも,ずっと大きな費用の節減をうむからである。 11)EDP装置の導入が決定されたとき,その能力は,導入方法が費用節減をうむ時点 をこえたそれ以後の期間においても,引き続き必要とされ,かつレステムの要件を満足さ せるのに十分であることを確かめよ。将来のj支術的進歩によって,この費用における利益 点に到達するまえ.をこ,その機械装置が相対的に陳腐化される可能性があっても,もしも, OLIVE 香川大学学術情報リポジトリ ・−62− 貸41巻 第1号 その機械装置がシステムの要件を満足させることができると予想されれば,その導入ほ拒 絶されない。 12)リ−スしたEDP装置が,損益分岐点をこえて使用できることが明らかに.なれは, ただちにその機械装置を眉取ることができるように,継続的検討が行なわれていることを 確かめよ。 〔3〕EDPSの十分性および有用性の管理の監査 (1)EDPSの十分性および有用性の評価の問題点 多くの場合に,EDP装置は,最初は,会計的適用のために導入されるが,−その後の業務 領域のオー・トメ化からも大きな利益がえられをことが語感されるように.なって.きた。プロ グヲミ.ング,システムの維持およびEDPのプロタクシヨン・スケジユー・ルにおいては,も っとも重要な適用が優先されなければならない。たとえば,あるコンビ.ユ∴−タ−でほ,航 空機の予約および切符販売のような基本的操作を優先して,輸送分析とか給料計算のよう (77) な会封機能およぴその他の操作ほ,あとまわしにされ早かもしれない。 そこで,レイノルズは,つぎのような配慮が必要であるとしている。EDPアクトプット (出力)は,正確で,タイムリ−・で,かつ有用な情報に対する経営者の要求に応えるもの でなければならない。しかし,この要求は,非常にしばしば,乱用されることが多くて, 実際に.は,例外または問題領域の報告が要求されている場合に,少なすぎるというより も,むしろ多すぎる資料が,時には,資料の山が経営者に提供されることがある。したが って,EDPアウトプット(出力)の必要性の継続および十分性を確かめるため紅,それを (78) 定期的紅検討する手続がなければならない。 また,EDP部門または特定の利用者ではなくて,経営者が,全体的なシステムおよび報告 沓の要件を決定するような方法で,EDP部門を組織的に確立し,かつ運営しなければなら ない。たとえば,販売管理者は・,自己および自己の販売部隊のためにのぞましい情報シス テムについて,最良の知識をもっていなければならない。手作業のレステ.ムの下において は,かれは,生産管理者,倉辟管理者,コントローラ−およびその他の管理者と同じよう な貿任をちっている。したがって,これらの管理者の必要性を無視し,特定の管理者に適 当な情報の適時性および明細事項をEDPに指令したり,あるいは特定の利用者へのサ− m」撒♂‖,pい 30‘ 間)イ凝d.,p.30. 62 OLIVE 香川大学学術情報リポジトリ 63 EDPSに関する内部監査の問題について ー 6β … ビスの提供に偏するような方法で,EDP部門の組織を設定することは,EI)Pに・対する利 用者の承認を失わせ,EDPからえ.られる利益をも央ぁせることになる。このような例は, 「EDPの報告書は信腰できない(あるいはタイムリー・ではない)」というような理由をあげ て,EDPの記録と重役して,手作業による記録が作成されている場合にみられる。しか し,EDPSは,利月ヨ名とは,正確性またほ適時性を競わないことが確実な利用阻織を援助 (79) するために存在し,カさつそれに対して責任を負わなければならないのである0 また,レイノルズは,新しいオ・−トメーンョン計画または古いか−トメ化されたシステ ムの重大な変更に.ついては,経営者が承認および注意する手段がなけれはならないとす る。それは,往往にして,批判というものは,か−トメ化の時間予定表に・おける脱落,人 員削減およぴその他の費用節減などの予期した利益がえられなかったこと,設定されたシ ステムの目標が達成できなかったことなどから生じているが,もしも経営者が,か一トメ ー・ジョン計画を統制しなかった場合には,相当の追加投資に.よってしか改善できないよう な不満足なシステムに.出会うことになるからである。 (80) ここで,レイルズは,EDPSの十分性および有用性を評価する場合の主要な監査目的 は,基本的情報要求に関する既存のi/ステムの有効性および経営者d)EDPS改善封画を確か め,EDPのアウトプット(出力)が,情報要求に対して1一分であり,超過的でないかどう かを確かめることであるとする。そこで,内部監査人は,新システムおよび旧システムの 大きな変更の承認,アウトプット(出力)の定期的な検討,およびEDPSの有用性の監視 (81) および向上などのためお諸手続を監査しなければならない。 (2)システムの信病性を確立する補足的監査手引 レイノルズは,以上のような考察砿基づいて,EDP亭の十分性および有用性を評価し (82) て−,レステ・ムの信頼性を確立する監査手引として,つぎの8項目をあげている。 1)会社の主要な経営活動を基本的EDP適用に.関連づけて,もっとも重要かつ有効な適 用が,か−トメ化されていることを確かめよ。そして,これらの適用が,1EDPのプロタク シヨン・スケ汐エ−ルおよび報告書の作成に・おいで優先されているか。下記4および5の 事項と関連して,これらの業務の管理に必要な情報が産出されていることを確かめよ。 (79)J∂査■dりpp‖ 30∼31 (80)∫み∠dリp,31 (81)J∂よdl,pり 31. (82)J∂紘,pp..31∼32・ OLIVE 香川大学学術情報リポジトリ − 64・− 貨41巻 策1号 64 2)EDP装置の正営睦を基本的に立証するこれらの適用をオ−トメ化する場合に,シス テムの立案が,満足的に進行してきたことを確かめよ。目標および適用可能性研究によっ セ予測した利益と,EDPSによる実際の結果とを\比較せよ。 3)反覆的に作成されるEDPアウトプット(出力)報彗苔を,代表的な数だけ選択せ よ。そして,選択した報告苔の主要な受領者のそれぞれ紅,報告苔が十分であって超過的 でない情報を含んでいることを確認せよ。また,受領者から情報を入手して,報告沓の受 領が,頻繁かつ長期に.遅延する理由を確かめよ。 5)同じ目的に役立つ既存の報告番が他にないかどうかを確かめるために,同じ問題に 関係する他の反覆的報告書と選び出した報告書とを比較せよ。 6)相当の手作業による記録が行なわれている領域では,このような記録が,既存の BDP報告書およびファイルに基づいて作成されないか,あるいはそれらを補足するもので あるかを確かめよ。もしも,そうでない場合には,手作業に.よる必要な記録のか−トメ化 が考慮されているかどうかを確かめよ。 7)デ「・タ処理活動の組織的位置づけを評価せよ。デー・ タ処理活動が,1っの業務部門 の管理下におかれ,当該部門や他の業務およびスタッフ部門に奉仕する場合は,これらの 他の主要な利用者または潜在的利用者に.対するサー・ビスが,不当に制限されているかどう かを確かめよ。 8)EDPのサ−ビスを受ける機関が,レステ■ムの要件,EDPアクトプットの形式およ び回数を決定するのに参加していることを確かめよ。 〔4〕データ処理活動管理の監査 (1)データ処理活動管理の評価の問題点 まず,レイノルズは,データ処理活動の毎日の運営を,総運営費用のうちの重要な要素 として,つぎのように説明している。機械装置の利用が,算2交替および第3交番の操作 によって改善できるか,あるいは逆に,機械装置に対する要求の削減によって改善できる 範囲内で,機械装置紅対する多額の投資は,通常,重要でない要素になる。第2の主要な 費用は,人件訝である。機械装置の利用の改善は,オぺレ一夕ーの有能性の増加に並行す (83) る。 つぎに,レイノルズは,EDPの利用の能率他の評価について,つぎのように説明してい (83)J∂柑.,p.32 OLIVE 香川大学学術情報リポジトリ EDPSに.関する内部監査の問題について 65 ー65・− る。EDPの利用の能率性は,機械運転時間数を調べるだけでは測定できない。不満足なシ ステム設計,ジステム設計およびプログラミングの不必要な重複,不必要な過度の頻繁 性,重複的データの産出,手作業のはうが適当な操作などは,機械装置の利用の調査では 判明しないであろう。それ故に,EDP装碇の利用は,2つの側面から考慮しなければなら ない。すなわち,EDP装置が,どれはど多く(howmuch)利用されて:いるかということ と,それがどれはど上手に(how well)利用されているかということとである。後者の決 定ほ,大部分,EDPSの調査および評価,オー・トメ化されたデータおよび報告沓の検討お (84) よぴシステムの管理の評価などから求められる。 さら紅,レイノルズほ,同じように重要な事項として,つぎのことをあげている。それ は,EDP装置の据え付けほ,し㌢吏しば,事務員の配置替えをもたらすことである。また, EDP装置に依存するように転換した場合には,火災およびその他の災害紅よる装置の喪 失,またはシステムおよび装置の能力をこえた仕事の負荷盈の急激な増加は,いずれも, その実施の能力の喪失をもたらすおそれがある。このような状態に・対処するためにほ,操 (8の 作の継碗の計画が必要である。 そこで,レイノルズは,データ処理活動の管理を評価する場合の主要な監査目的を,つ ぎのように.のぺている。すなわち,主要な監査目的は,EDP装置および職員が能率的紅利 用され,そして,その機械装置が,火災または動力の失敗,あるいは急激な仕事の負荷盈 の増加の場合に.,EDPSの継続的機能のための実行可能な計画が立案されていることを確 (郎) かめることにある。 (2)データ処理活動管理の監査手引 レイノルズほ,上記のような考察に基づいて,つぎのような監査手引を提示している。 (8r) 1)EDP装置のプロタクショソ操作のスケジ.ユ.−ル作成の手続を検討せよ。現行のプロ ダクレヨン・スケ汐ユ」「ルを検査し,これらのスケジ㌧.−ルが,操作上の要件および報告 沓の期限に適合してこいるかどうかを確かめよ。スケ汐ヱ一−ル軋脱落が生じた場合には,仕 事の優先性および報告苔の期日について,仕事の負荷鼻のスグ汐.コ∴−ルを作りなおす手続 が準備されているか。 (紬 ′み紘,pu 32. 脚 ∫∂摘.,p− 3字 鯛〃祓.,p.32 (87)J∂∠d.,pp..33∼34小 OLIVE 香川大学学術情報リポジトリ −−66− 籍41巻 籍1弓/ 2)インプット(入力)データおよび基礎的なファイル・デー・タが,機械装置の処理の スケジユールに与って要求されたときに,処理のために利用できるように・予定され;かつ 統制されているかどうかを確かめよ。 3)正規の交替時および臨時の交替時のEDP操作を観察せよ。パンチ・・カード,ワイヤ ード・パネルおよびテー州プの組織,操作の監督,取扱の方法およびインプッ「(入力)を 蓄積し,アクトプット・(出力)を配付する方法に注意し,評価せよ。 4)機械装置の各部分に対する投資−すなわち,賃借した機械装置の毎月の賃借料, 買い取り価額および所有機械装置の維持費−を含むすべての使用機械装置の総合調査を 行なえ.。どのような機械装置の変更予定および取り替えの大体の日取りに.も注意せよ。ま た,EDP操作の職員配置紅ついては,交番制虹より,また,監督者,事務員,システム・ アナ・リスト,キ−・パンチ・オぺレー・タ」−,EDP装置および会計機カ■ぺレー・タ−−・のような 職員の種類によって分類した情報を入手せよ。機械装置と職員との明白なバランヌを評価 せよ。たとえば,キ岬‥パンチや検証の仕事が,1交替紅割り当てられた最高のオぺレー ク−・を超過したものであるか,またはそれ以下であるかもしれない。 5)実際の交替数の操作に基づく利用可能な総時間を示すために,代表的期間の,それ ぞれのコンビコ.・−・ター・の型およびそれぞれの種琴のパンチ・カ−ド械械(PCM)の利用 に関する情報を入手せよ。この情報を,つぎの種類の機械使用時間に関連づけ享。有効な プロタクショソ。保守。プログラム,カ■ぺレ−・ターまたは機械装置の間違檻よる再運転。 組み立ておよび取りはずし。プログラム・ヂパッキング。 組み立ておよび再運転時間の明白な超過に.とくに.注意して,総利用可能時間に㈲する有 効なプロダクレヨン時間を評価せよ。有効なプロタクシヨン時間の認められる此率に.つい ては.絶対的基準はないが,再運転時間を評価し,機械室操作の能率(上記3)を観察する ことに・よ?て,部分的に評価することができる0たとえば,機械装置のカ■ぺレ一夕−がテ −プを交換する場合紅,補助者が不足しているために,組み立て時間が相当にかかってい るか。また,最低経費が,月176時間利用を基礎にして決められている貸借機械装置の場 合に.,この最低利用が達成されているか。 6)・−賞して低利用の機械装置の部分を保有する必要性を検査せよ。とくに,PCM装 置の場合には,あるキ−・パンチをやめれば,残りのキー・パンチの利用を,認められる程 度にまで高められるかもしれない。 7)既存の機械装置,プログラムまたはファイルが損傷を受けても,EDP操作が継続で 66 OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題について 67 ー・67− きるよう紅,基礎的EDPファイルの定期的「ダンプ」および,これらのファイル,システ ムの文書およびプログラムの耐火保管の用意が行なわれていることを確かめよ。 8)EDP装置の使用が,操作の継続のために必須的である場合は,機械装置の破壊また は不足か,あるいは既存のデータ処理能力の迅速な拡張のどちらかによって,操作を遂行 する代替的能力のための現実的封画が存在するかどうホを確かめよ。継続性の計画が,手 作共によるシステムへの転換を用意している場合にほ,職員の雇用,訓練および操作手 続,様式などの設定に.よる職員の指導のため把.現実的手続が設けられているか。EDP操作 の継続のために,代替的能力を獲得するために,他の会社との有効な協定に基づいて,継 続性の計画がたてられて言いるか。代替的場所には異なる機械装置がある場合にほ,プログ ラム,ファイル・レイアクトなどが,代替的場所の機械装置において使用するために.作成 されていることを確かめよ。 〔5■〕結 レイノルズは,これまでの見解をまとめて,つぎのように結論をのぺている。EDPSの 経験をもつ経営者は,−−・般に,コンビコ一夕−の驚異的な速度および能力に重点をおいた セー・ルス把.は,心を動かされないし,また,それを万能薬とも考えない。経営者は,おそ らく,非常に.しばしば,EDPSの失敗という不幸な経験紅よって:,あるいは予期した費用 の節減が実現しなかったこと紅よって,現実では,困難な迫に出会って.いる。 (88) EDPは,装置のためよりも,レスデム設計および維持のために相当の投資を要する。そ れほ,日々の必要に容易に順応でき,通常インフオ−マルで,比較的紅弾力的な手作業に よるシステムの代わりに,高度に規格化されたシステムの採用を意味する。しかし,統制 の増加,得意先に対するサービスの改番および費用の節減などを含むEDPの利点も無視す べきではない。しかし,経営者ほ,EDP装置の導入,機械装置およぴリスプムの操作が, 意図した利益を合理的に保証するような方法で行なわれていることを確かめることを,内 (も9) 部監査人虹要求し,かつ期待できなければならない。 以上のようなレイノルズの所説をまとめておエう。レイノルズの意図は,EDPに関する 内部監査の領域の拡張である。すなわち,従来の内部監査は,EDPに関するシステムの設 OLIVE 香川大学学術情報リポジトリ ・丁6β− 貨41巻 第1一写 計を援助し,かつシステムの調査,検討を行なうものとされていたが,レイノルズは,よ り椅極的に,内部監査は,EDPの管理をその重要な監査領域として:認識すべきであるとす る。そして,レイノルズは,EDPの管理の評価についての監査手引を提案する。 EDPSは,経営者に1っの重要な管理領域を与えることになったので,経営者のスタッ フである内部監査人は,経営者の,このように重大かつ困難な仕事を補佐しなけれはなら なくなったのである。そこで,内部監査人は,EDPの導入の管理,EDPSの十分性および 有用性の管理,デー・夕処理活動の管理というEDP管理の3っの領域を監査領域として,そ の評価を行なわなければならない。 まずEDPの導入の管理の監査目的を,適用可能性研究の十分性,システム設計,システ ム明細書の作成およびEDP装置の選択における手続の適当性,機械装層の有効な利用を確 保する手続の十分性,賃借,リース,買い取りなどの選択に.おける考慮の適当性とし,12 項目の監査手引を提案している。 つぎにEDPSの十分性および有用性の管理の監査目的として,EDPSのアウトプット (出力)が,情報の要求に対して−十分であっで,超過的でないことを確かめることをあ げ,新システムおよび旧システムの重大な変更の承認,アウトプット(出力)の検討, EDPSの有用性の監視および向上のための諸手続の監査を必要とし,そのために.8項目の 監査手引を提案して:いる。 さらに,データ処理活動の管理の監査目的を,EDP装償および職員の能率的利用および EDPSの継続的機能とし,8項目の監査手引を提姦している。 このようなレイノルズの所説は,従来のEDPの内部監査紅対して,その範囲および観点 を異にするものである。これも,また,内部監査の発展と見ることができ,その監査手引 は,実際的に,有用なものとなるであろう。しかし,なお,内部監査の理論から,どのよ うに体系づけ,整備するかという問題が残されるであろう。 Ⅴ む す び これまで,EDPSの内部監査に関する最近の論文を,3つほとんど,そのままの形で紹 介した。こ.れらは,必ずしも厳密な意味においてではないが,今後のEDPSの内部監査の 方向を,ある程度示していると考えることができる。 もっともオ−ソドックスな研究方向は,第1のポ一夕・−の論文に示されるように,EDPS に関する統制の評価を中心とするものであろう。もともと,内部監査は経営者の統制能力 68 OLIVE 香川大学学術情報リポジトリ EDPSに関する内部監査の問題について二 69 −69・− の拡大を意図して発生してきたものであり,経営組織の発展につれて,統制が経営者の直 接的業務から手段として分離され,内部統制組織として組織されるにおよんで,内部監査 は,この内部統制組織の有効性を碑保し,その欠陥を改尊し,かつ補充するのをその主要 な機能とするよう紅なってきている。したがって,内部監査ほ,企業経営の変化に対応し で,内部統制組織の有効性を確保するよう紅,内部統制組織を適応させていかなければな らない。E三)PSの導入は,内部統制範織を変化させたので,内部監査は,EDPSに.関・する 統制を検討して,その有効性を評価することを,新しい問題として引き受けなければなら ない。 ポニタ−の論文は,EDPS把蘭する痍別の評価について,1つの分析の視角を示すもの である。すなわち,EDPSの統制の評価として,親機討画,管理的統制,手続的統制およ びシステム計画の4つの内部監査領域陀分けて,EDPSに関する新しい統制の問題点を示 している。 すなわら,組織計画の点では,従来の内部統制組織の原則が,システム設計およびプロ グラミングの機能,機械操作機能およびプログラム管理,テ十プ・ライブラリ一機能の分 割として適用されるよう紅なる。つぎ把.,EDPSの管理上の統制についてこほ,システム設 計,プログラ ミングおよびコンビ.ユ∴一夕一線作の3っの段階紅分けて,それぞれの事務手 続の制定および文沓化において重要な統制の問題を明らかにしている。さらに・,EDPSを 操作する手続に開する統制としては,取引を記録し,処理し,要約し,かつ報告する手続 匿おいて重要な統制の問題を,原始データの段階,デー・タ処理の段階,報告の段階の3つ に分けて詳細に・分析して−いる。最後阻,システムの立案が,いか紅有効に行なわれている かを評価するため紅,適用領域および報告書の有用性を検討する。 このようなポ−・クーの論文は,EDSPに.関する統制を,組織計画,管理的統制,手続的 統制およぴジステム立真紅分けて分析したところに1つの特徴があり,その詳細な統制の 歪要な問題点の指摘に,その貢献が認められる。 常2のポ−テルの論文は,さきのポ、−クーの論文とは異なる新しい観点な主張してい る。すなわち,ポL−テルのような考え方にたてば,ポータL−のような考え方は,EDPの監 査紅おける1つの問題の詳細な分析であるにほ速いなん、が,まだ,「コンビふL−ダーのま わりの監査」という段階紅とどまっており,新しい方向として指摘する「■コンピュータ− に.よる監査」の段階紅入っていないということになるであろう。この点からいえば,ポL− タ−の見解は,オ−ソドックスな方向であって,従来の監査人が容易に入りこめる領域で OLIVE 香川大学学術情報リポジトリ − 7(クー 第41巻 第1号 あって,EDPSに関する専門家に匹敵するような知識までも要求しない。 と、ころが,ボーテルは,監査人も,EDPSの専門家と同車の知識を香し,それを利用し て監査すべきであり,将来において−は,いやでも,そのような日が来ると予言して1、る。 すなわち,監査人が,監査のためにEDPの技術を利用することに.よっで,より有効な監査 が実施できるし,またそ・の利用の可能性は無限であるので,その利用を積極的に研究すべ きであるとする。 ボ−サルは,このよラなアプローチは,データの処理の段階に・おいて通用される面が多 いとする。すなわち,伝統的な監査証跡紅顔る「コンビコ.−・タ・−・のまわりの監査」に.「コ ンビふ一夕ー・による監査」を対比させ,テス トデックを利用する方法から,監査人のプ ログラム・コピーを利用する方法に進み,さらに,コンビーユ.一夕ー・オー汐ット・モデル を利用する方法にまで,その発展の方向を示している。それは,EDPを監査に有用な手段 とし七利用するために,監査人自身がEDPのプログラムを作成する方法であり,この方向 紅沿って有効な技術を開発すべきであるとする。したがって,そのことは,監査人に.,従 来とは異なる領域の専門的知識を要求することになる。このようなボーテルの見解は, EDPSに・対する1っの対応の仕方として,興味があるものである。 貨3のレイノルズの論文は,さきの2っの論文とは異なった方向へ,内部監査を展開さ せようというものである。かれの考え方は,内部監査を業務監査として,その新しい業務 監査の領域として,EDPSの監査を考える。すなわち,EDPSは,彪大な投下資本を要し, 十分かつ有効なEDPSの導入および運用の管理が重要な1っの業務領域を形成するので, EDP管理の評価が内部監査の重要な領域紅なる。 したがって,従来の内部監査が,主として,EDPに関するシステムの設計の援助,シス テムの調査,および検討を行なうものであったことに比較すれば,その監査領域闇∵、相当 に拡張されている。レイノルズの主張は,このような監査領域の拡張にあり,また,そこ における有用な監査手引の提案にある。 このような観点から,Vイノルズは,EDP管理の監査領域を,EDP導入の管理,EDPS の十分性および有用愴の管理,データ処理活動の管理という3つ咋.分けて,そ・れぞれの監 査目的を明らか紅し,かつそのた右ぬ有用な監査手引を細かくあげている。 このようなポ・−ター,ボーテルおよびレイノルズの所説は,個々的には,非常に興味が あり,また有用な指摘を多くもつのであるが,内部監査の理論として,どのように体系づ け,かつそこにどのよう阻位置づけるかという大きな問題が残されている。この問題は, 70 OLIVE 香川大学学術情報リポジトリ 71 EDPSに.関する内部監査の問題について: ー7J−− 後日に検討する予定であるが,これらの3っの論文は,EDPSに・関する内部監査の将来の 方向を示すものとして有意義であろう。