ITを利用したITの統制も重要
こんにちは、丸山満彦です。財務報告に係る内部統制は中心は会計や業務の話ですが、社会的にみるとどちらかというとIT業界のほうが盛り上がっているように見えますね。
ただ、この現象はまったくおかしな話でもなくて、業務プロセスレベルの統制活動になってくるとITの利用が重要となってきます。
日本の内部統制の意見書では「ITへの対応」があり、その内訳として「ITの利用及び統制」が書かれています。
意見書によると
・ITの利用
組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用することをいう。
・ITの統制
組織内において、組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制のほかの基本的要素をより有効に機能させることをいう。
となっています。
業務プロセスに係る内部統制を確実に実行させようとすると、コンピュータシステムに統制活動を埋め込むことになると思います。統制活動の自動化ですね。
例えば、
(1)「不要なIDがシステム上に残されていないことを3ヶ月毎に確認する」や
(2)「変更されたプログラムの一覧を1ヵ月後とに出力し、承認があったことを確認する」
という統制活動があった場合、システム管理者が手動でいちいちシステム上のID一覧や、変更されたプログラム一覧をコマンドを打って出力するよりも、システム上のID一覧や変更されたプログラム一覧が自動的に出力されるようなITを利用したITの統制があるほうが、確実に統制活動が行われますよね・・・
また、ITを利用した統制を充実させる(当然、IT全般統制が有効に機能している必要がありますが・・・)ことは、経営者評価及び監査コストを下げることにもつながりますね。
これからシステムを作る場合は、
1)システムに内部統制を組み込み
2)コンピュータ全般統制を有効に機能させる
ことが重要となりそうですね。
Comments
ManualのPreventive Controlsについてもコメントしてください。
PreventiveというとAutomatedの方が浮かびます。そこから先に行くきっかけが欲しいのでお願いします♪
Posted by: koneko04 | 2006.06.14 14:04
koneko04さん、コメントありがとうございます。
> PreventiveというとAutomatedの方が浮かびます。そこから先に行くきっかけが欲しいのでお願いします♪
の意味がわからないのですが、
manual の Preventive controlsの例をあげてくれなら・・・
・課長は、出張申請書の内容を確認し、その適否を判断した上で、適切であれば承認印を押印する。
というのが、販売管理費の発生に関するpreventive controlsの一つと考えられませんでしょうか?
Posted by: 丸山満彦 | 2006.06.14 15:36
今日のお昼に、内部統制について説明するのにわかりやすい例を思いつきませんでした。そこで丸山さんのブログに教えて君として登場したのでした。
コメントありがとうございます。
Posted by: koneko04 | 2006.06.14 16:03
基準案に書かれている「ITへの対応」は基本的要素として書かれていますが、IT(システム)はプロセスを自動化しただけのものなので、基本的要素としての「ITへの対応」は統制手段としての「ITの利用」だと認識しています。
逆に「ITの統制」という表現であればITは統制の対象ということなのですから、本来であればそれは基本的要素として捉えるべきではないと思ってます。
そういった意味で、統制の対象であるITをITを利用して統制するのは当然のことだし、重要ですよね。
Posted by: なかじま | 2006.06.14 16:27
なかじまさん、コメントありがとうございます。
実は、日本の意見書では、「ITの利用及び統制」と一つにまとめられていて、
=====
② ITの利用及び統制
ITの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにITを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれてさまざまな形で利用されているITに対して、組織目標を達成するために、予め適切な方針及び手続を定め、内部統制の他の基本的要素をより有効に機能させることをいう。
=====
となっています。一緒に説明しているので、本来は分けるべきではないのかもしれません。
ところで、ITの統制が基本的要素になるかどうかを議論する前に。。。「基本的要素」とは何か?。。。COSOでは「構成要素」としているのに、何故日本の基準では、「基本的要素」として例示としているのか・・・と言う問題を解決しなければならないと思っています。
Posted by: 丸山満彦 | 2006.06.15 07:44
ITの利用と統制については「統制活動の統制」をどうするかという議論になりそうですね。
個人的には、対象と手段は分けて考えたほうが整理はしやすいかな?と思っています。
COSOではcomponent→構成要素ですよね。
「基本的要素」というと基本的でない要素もあるということなのでしょうか?
Posted by: なかじま | 2006.06.16 12:22
なかじまさん、コメントありがとうございます。ITを利用(手段)した統制としてIT業務処理統制がありますね。また、ITを対象とした統制として、IT全般統制がありますね。
もちろん、ITを利用したITを対象とした統制もありますね。
=====
「基本的要素」というと基本的でない要素もあるということなのでしょうか?
=====
ということを聞きたくなりますね。
Posted by: 丸山満彦 | 2006.06.20 07:10