Control Objectives 2
こんにちは、丸山満彦です。このブログの2005.11.22の「Control Objectives」で内部統制の有効性評価は、Control Objectivesが明確になっていないとできないと書きました。COSO内部統制報告書でも、同様の話がのっていました。
■COSO内部統制報告書(フレームワーク)
・付録C 内部統制の定義についてのさまざまな視点とその利用
=====
●統制を実施するためには、あらかじめ定められた目的が必要である。目的なしでは、統制はいかなる意味も持たない。
●統制は、設定された目的に向かって進むという目的のもとに、誰か、または何か-たとえば事業体の構成員、事業単位または事業体全体-に影響を与えることを伴うものである。
目的を設定し、その達成に向かって行動するということが、統制という概念の基本である。かかる行動には、命令すること、指示を阿多会えること、抑制すること、規制すること、そして管理することが含まれる。しかし、いずれにせよ、統制を実施するには、かかる行動は具体的に設定された目的を達ししようとするものでなければならない。
=====
夏井先生のコメントにもありましたが、目的と手段です。目的と目的を達成するための手段の峻別は重要です。もっとも、目的と手段は連鎖しますので、目的と手段のペアで理解しておくことが重要となります。
【参考】このブログ
・2005.11.22 Control Objectives
Comments
丸山 様
夏井@DCです。
評価をするためには,評価の対象が何であるのかが一義的明確に定まっていないといけないですね。また,評価の判断基準と手法も定められていないと第三者が比較して検討可能な評価結果が出てきません。更に評価者の資格・能力・権限・選出方法などについても明確に定めていないと,評価者それ自体が客観的な評価をする者かどうかも分かりませんかね。逆から言うと,これらの要素の中のたとえひとつであっても曖昧な部分があれば,その「評価」は客観性の全く保障されないものだと理解して良いのだと思います。
更に,日本国では,日本語が必ずしも合理的な構造をもっていないということもあって,評価の対象,判断基準,手法のいずれについてもそもそも客観的に記述されていない場合が少なくないように思います。
というわけで,「評価」と言っても必ずしも正当な評価結果を伴うものでないばかりか,逆に名誉毀損で訴えられても仕方のないようなものもあるようです。とは言っても,実際に様々なタイプの第三者評価などを経験してみると,そもそも当該評価者にその資質が全く欠けていることが明らかな場合もありなから世間の「評価」は有能な評価者による客観的な評価だとされてしまうこともあり,問題はなかなか簡単ではないです。
私の選択肢は結局のところひとつしかないと思うようになりました。
つまり,第三者評価なるものは,自分が何かを判断する際の参考資料のひとつに過ぎず,究極的には自分が責任をもって対処しようとするかどうかという姿勢のようなものが一番大事だということです。
米国に来ていろいろと観察していると,この国には様々なところに多種多様な評価機関が存在しており,一応それを尊重しているようなポーズを大げさに示しつつも本当はその評価結果を何ひとつ信用していないような米国人がごく普通に多数存在していることが分かります。そのような姿を日常的に目にするにつけ,社会的な儀礼または一種の形式的な繕いのようなものとしての意味での「評価」というものもあるのだな・・・と気づきはじめております。
まあ,よく考えてみれば,アイザック・ニュートンだってアインシュタインだって小さいころには成績不良者として評価者である教師から「評価」されていたわけですから,「評価」とはそのようなものとして受け止めるべきものなのでしょう。
この例から得られる教訓には幾つかありますが,最も重要なことは,「評価者は,自分よりも優れた者や行動を評価する能力を持たない」という一般原則です。この一般原則を完全に打ち破ることは決してできません。なぜなら,世界で最も優れた人材が存在するとしても,同一人が世界中のすべての「評価」を担当することは絶対に不可能なことだからです。
というわけで,その程度のものだと思ってしまえば,かなり気楽に「評価」とお付き合いできるのではないかとも思われます。(笑)
Posted by: 夏井高人 | 2006.05.29 20:50
丸山さん
先日、ISACAの長老メンバーの方のお話をお伺いする機会に恵まれました。SAS70 Auditについてお話ししました。
SAS70のcontrol Objectiveは監査される側であるService Organizationが選ぶこともあり、余程のことがない限りSAS70 Auditで問題点が続出ということはない、つまりSAS70は失点がないとわかっている箇所を監査しているのだから、それによって監査人が出した意見書を鵜呑みにするわけにはいかないというようなことでした。
皆様ご存知のように、SOX法に対応する際には自社が使っているService Organizationを特定して、SAS70のType IIレポートを取り寄せて評価するという手順があります。
その際に自社のControl ObjectiveとService OrganizationのControl Objectiveの整合性が取れていない場合は、実際にService Organizationを訪れて、テストをする必要性が出てきます。
実際にService Organizationに出向いてテストをすることになる企業若しくは企業に雇われている監査人というのはどの位の割合でいるものかはわかりませんが、Control Objectiveを履き違えていると、Service Organizationとしては余計な仕事が増える(新たな監査がClient側から入るということで)ことになるので、慎重に考える必要があるのではないか。。というようなことを個人的には考えていたりします。
Posted by: koneko04 | 2006.05.30 02:36
夏井先生、コメントありがとうございます。
=====
第三者評価なるものは,自分が何かを判断する際の参考資料のひとつに過ぎず,究極的には自分が責任をもって対処しようとするかどうかという姿勢のようなものが一番大事
=====
私もそう思います。公認会計士の監査報告書は、「監査には限界があります。」ということを説明している部分が全体の半分を占めるのではないか?というくらいです。
会計監査の歴史は、この期待と現実のギャップの歴史といってもよいかもしれません。
監査保険論という話も昔はあって、監査は何かあった場合の保険、つまり監査人が最後は損害を賠償してくれるという考え方ですね。
=====
「評価者は,自分よりも優れた者や行動を評価する能力を持たない」という一般原則です。
=====
は、人事評価でよく感じますね。難しい・・・ですね。
Posted by: 丸山満彦 | 2006.05.30 08:28
koneko04さん、コメントありがとうございます。
SAS70の報告書をそのまま鵜呑みにすることはできませんね。
受け取った側はその内容を確認し、不足があれば追加手続が必要ですね。
Posted by: 丸山満彦 | 2006.05.30 08:32
丸山 様
夏井@DCです。
こちらは5月30日の午前6時なんですけど,本日昼発の便で帰国予定です。その前にちょっとした仕事をこなさないといけないので,かなりタイトなスケジュールです。^^;
今回の出張でも随分と色んなことを勉強しましたし,私的にも楽しいことがたくさんありました・・・ですけど,ちょっぴり疲れたな。(笑)
連絡がいっていると思いますが,帰国後はよろしく。^^
Posted by: 夏井高人 | 2006.05.30 19:00