【監査】IT監査におけるキーレポートとは？その重要性と確認ポイント

こんにちはIT監査/DX教育コンサルタントのTです。

今日は監査で使うキーレポートとは何か？
について簡単に解説します。

IT監査におけるキーレポートとは、内部統制や実証手続きの根拠として使用されるシステムから出力されたドキュメントのことを指します。

最近の会社では、監査に関連するほぼすべてのデータがシステムから出力されるため、監査目的で利用する場合、ほとんどのドキュメントがキーレポートになるのではないでしょうか。

たとえば、以下のようなレポートが該当します。
●在庫レポート（棚卸のためのデータ）
●売掛金年齢表（売掛金の回収状況を確認するための一覧）
●未払金管理表（未払金の管理状況を示すリスト）
これらのレポートは、システムから出力され、Excelなどで取り扱われることが一般的です。

✔︎キーレポートの確認ポイント
監査において最も重要なのは、キーレポートの正確性と網羅性を確保することです。

1. 正確性と網羅性の確認
監査人は、キーレポートが正しく、かつデータの漏れなく作成されているかを検証する必要があります。

なぜこれが重要なのか？

例えば、売掛金年齢表を監査した際に、会社が適切に滞留債権を管理し、督促を行っていると判断したとします。しかし、後日、会社の担当者が「1件データの抽出漏れがありました…」と報告してきた場合、監査の結論が覆る可能性があります。

このような事態を防ぐためには、監査人が企業側のデータ抽出条件をしっかりと確認することが不可欠です。これが、キーレポートのテストの目的です。

2. データの抽出元を確認する
キーレポートの元データは、多くの場合システムのデータベースに保存されています。

「Excelで管理すればいいのでは？」と思うかもしれませんが、Excelでは処理しきれない大量のデータを扱うため、企業システムではデータベースが利用されています。

データベースから必要なデータを抽出する際には、SQL（Structured Query Language）というプログラミング言語が使用されるのが一般的です。

つまり、キーレポートをテストする際には、データ抽出のプログラム（SQLクエリなど）が適切であり、漏れがないことを確認する必要があります。昔はシステム監査人でないとプログラムは読めなかったですが今はAIで簡単に検証できます。

監査人が確認すべきポイントはデータの抽出条件を確認することです。

1. 企業が使用しているシステムのどの機能やボタンを使ってデータを抽出しているのかを把握する

2.フィルタ条件（期間、対象範囲など）を明確にし、適切に設定されているか検証する

3. SQLクエリの確認（可能な場合）
どのような抽出条件でデータを取得しているか、SQLの記述内容を確認する

4. エビデンスを残す
システムの操作画面や設定内容のスクリーンショットを取得し、監査記録として保存する

まとめ
キーレポートは、監査の根拠となる重要なドキュメントです。そのため、データの正確性と網羅性を徹底的に確認することが監査の信頼性を高める鍵となります。