皆さん、こんにちは。
今回は、監査の自動化について、考察したいと思います。
監査の自動化を考察するにあたっては、監査がデータを使った監査(以下、データ監査)であることを前提としたうえで、監査のどの部分を自動化するのかを定義する必要があります。ここでは、ICAEA JAPAN(※1)が定義したCAATs Flowをベースに考察をしていきます。データ監査は下図のCAATs Flowに基づいて実施します。
CAATs Flowのプロセスのうち、データ分析ツールを利用するプロセスは、「データの分析」のみとなります。CAATs(※2)をデータ分析ツールと同意と誤解されがちですが、CAATsはCAATs Flow全体を意味します。
ここで、CAATs Flowの解説を行います。
CAATsの最初のプロセスは、「事象の知覚」です。これは、関連する法令やルールの改変、不正事例の発生など、会社にとってリスクや課題になる可能性のある事象を認識するプロセスです。
次に「監査テーマ(リスク・課題)の選定」というプロセスになります。このプロセスでは、認識された事象が内部統制などによって発生を防止できるか否かを判断し、防止できない可能性があると判断された場合には、当該事象を監査テーマとして選定します。
監査テーマを選定するとその監査テーマに関する「仮説検証手続の立案」というプロセスに入ります。このプロセスでは、監査対象となるデータに対して一定の仮説を立案し、当該仮説に沿った事象が発生しているかどうかを確認できる条件や事象などを明確にした文章を作成します。この文章を分析シナリオと言い、以下の2つに分類することが出来ます。
分析シナリオを作成すると、「データの入手」というプロセスに入ります。このプロセスでは、分析シナリオに必要なデータ(以下、ソースデータ)を安全かつ適切な形式で入手します。ソースデータの多くは会計システムや販売管理システムなどに蓄積されている「内部業務データ」から抽出されますが、株価や為替などの「外部オープンデータ」やメールなどの「その他データ」からもデータを抽出する場合があります。
データ分析に必要なデータを入手すると、「データの分析」というプロセスに入ります。このプロセスでは、データ分析を行うソフトウェア(以下、データ分析ツール)を使用してデータの分析を行います。まずは、ソースデータをデータ分析ツールに取込む処理(インポート処理)を行います。次に、データ分析ができる仕様のデータ(以下、分析用データ)を作成するための処理(加工処理)を行います。加工処理の具体例としては、複数データの結合や条件に合致するデータの抽出、欠落データの補完や表記ゆれの統一などのデータクレンジング、帳票形式データから不要な行・項目を削除するなどの整形処理などがあります。加工処理によって作成された分析用データを対象にして分析シナリオに基づくデータ分析を行います。
データ分析では、データから洞察を得たり、仮説の検証を行ったりするために、グラフなどのチャートを利用したデータの視覚化(ビジュアライゼーション)を活用する機会が増えています。データ分析によって得られた分析結果を評価し、必要に応じて評価結果から分析シナリオなどを見直し、最終的な分析結果を評価し、報告します。なお、発見型の分析シナリオの場合、データ分析を定型化することができます。
実務では、データ分析で仮説を検証した結果をもって仮説の見直しをしたり、それに伴うデータの特定や分析シナリオを見直したりすることが多いため、CAATs Flowの各プロセスは一方通行ではなく、相互に循環しながら最後のプロセスに至るというイメージになります。
後半は、『監査の自動化について(2)』に続きます。
当記事の内容でご意見やご感想がありましたら、ご連絡をいただけますと幸いです。また、CAATsに関するご質問があれば、遠慮なくお問い合わせください。
お問い合わせ先:https://www.icaeajp.or.jp/inquiry/contact/
※1:ICAEA JAPANとは、一般社団法人 国際コンピュータ利用監査教育協会の略称であり、CAATsを実務で活用できる専門家(=CAATs技術者)の育成・支援を行うことで、日常的な不正・誤謬を発見・防止することに貢献することを目指して設立されました( https://www.icaeajp.or.jp/ )。
※2:CAATs ( Computer Assisted Audit Techniques, コンピュータ利用監査技法 )とは、監査人がコンピュータとデータ(IT)を利用して監査手続を実施する技法をいい、CAATsを利用して監査を行うということは、ITを活用して監査を行うことと同義になります。日本では、CAATと表記されることが多いのですが、海外では、複数形のsをつけたCAATsと表記されることが多く、ICAEA(International Computer Auditing Education Association)でもCAATsという言葉を採用しているため、当BlogとしてもCAATsという言葉を使用しています。
一般社団法人 国際コンピュータ利用監査教育協会(ICAEA JAPAN)のFacebookページを開設しております!よろしければ、「いいね」ボタンのご協力をお願いします。
三恵ビジネスコンサルティング株式会社(SankeiBizCon)のFacebookページも開設しております!よろしければ、「いいね」ボタンのご協力をお願いします。
☆CAATsを学びたい方への研修情報!
https://www.icaeajp.or.jp/learning/courses/