« 英国 The Combined Code on Corporate Governance: Requirements of Auditors under the Listing Rules of the Financial Services Authority and the Irish Stock Exchange | Main | パスワードが重要なら印鑑管理も重要 »

2006.09.16

IT全般統制が有効に機能していなければIT業務処理統制の有効性は保証できないのか・・・

 こんにちは、丸山満彦です。ITが関係する統制活動には、IT全般統制とIT業務処理統制の2つがあると昔から言われていますね。IT業務処理統制は、アプリケーションに組み込まれた自動化されたチェック機能といった感じです。例えば、売上げ値引きは営業所長の承認が必要という決まりがあった場合、販売システム上で営業担当者は、商品コードを入力すると自動的に単価が入力され変更できないようになっている場合は、IT業務処理統制と言えますね。
 で、IT業務処理統制が機能するためには、システムの開発、運用、保守やアクセス管理等が適切に行われていなければならないわけです。それが、IT全般統制といえます。なので、IT全般統制の評価は重要なわけです。IT全般統制が有効に機能していないと、IT業務処理統制が有効に機能していることは保証できません。多くの監査人は、財務諸表監査で、IT業務処理統制に依拠する監査をする場合は、IT全般統制が有効でなければならないと思っていると思います。年間を通じてIT業務処理統制が有効に機能しているかどうかは、IT全般統制を評価しないと保証できないからです。

 
 で、今回の財務報告に係る内部統制の評価と監査の制度ですが、内部統制の有効性を評価する時点は、期末日ですね。
 1日だけなら、IT全般統制が有効に機能していなくても、IT業務処理統制が有効に機能していることを直接確かめることができるという考え方もありえるかもしれませんね・・・
 どうなんでしょうね・・・。米国でも議論があるようですけどね・・・

|

« 英国 The Combined Code on Corporate Governance: Requirements of Auditors under the Listing Rules of the Financial Services Authority and the Irish Stock Exchange | Main | パスワードが重要なら印鑑管理も重要 »

Comments

 「ある一時点の内部統制の評価」って無意味と思います。通常、内部統制の検証を行う際には、そのデザインのレビューとそれに沿ったオペレーションが行われているかのレビューが必要になりますが、極端な話、「期末日にルール化し、そのルールによる運用実績はありません」と言われて、「期末日は有効だった」と言えるのでしょうか?(毎年期末日だけその統制を有効化していたりして:-P)。
 やはり一定期間における有効性を見ないと意味がないと思います。現に会計監査では監査期間の有効性評価を行っていますし。

Posted by: Mulligan | 2006.09.17 23:29

Mulliganさん、コメントありがとうございます。
期末日に有効性の評価をするのは、内部統制を是正させることに重きをおいているからのようですよ・・・

【参考】このブログ
・2006.08.06 経営者評価を期末日現在にした理由
・2006.07.09 財務諸表監査における内部統制の評価は会計年度における期間評価で、内部統制監査のための内部統制の評価は期末日における期日評価
 極端な話、の例示は一定期間の運用の評価ができないとだめなのだろうと思いますが、その一定期間がどの程度かについての規定はないように思います。
 これも一律には決めれないでしょうね・・・

Posted by: 丸山満彦 | 2006.09.18 10:57

内部統制やITもなかなか理解できない人に大使、私が説明する場合、「IT全般統制って、家で例えれば、土台とか構造といったものを想像してくれればいいと思いますよ。いくらオシャレな家でも、構造がしっかりしていなければ、長持ちしないし、地震がくればつぶれますよねー。それと同じです!!」と、ちょっと(かなり)乱暴な表現をするとなんとなく納得します。
内部統制について、しっかりと取り組むような大企業であるならば、専門用語を使っても理解していただけますけども、それ以外の企業にもわかっていただくように説明する、、、と考えると、頭が痛くなります。

Posted by: shita | 2006.09.22 17:23

shitaさん、コメントありがとうございます。本日のセミナーで私も同じような言い方で説明しましたよ・・・

Posted by: 丸山満彦 | 2006.09.23 01:45

丸山 様

夏井です。

IT統制などに限らず,統制のためのポリシー設計は,どうやってみたところで現実の会社組織それ自体及びその中での権限配分を反映せざるを得ないですね。比ゆ的に言えば,一種のミラーのようなものです。

仮にそうであるとすれば,組織が組織ではなく,権限配分も名目に過ぎないようなところでは,どのように立派な文書を作成してみたところで全く意味がないことになるかもしれません(もともと実質的には個人企業のようなところでは独裁者である経営者が全権を握っているので,それはそれできちんと統制ができてしまうという皮肉な現象も存在するかもしれませんが・・・)。

要するに,小手先のコンサルの問題に矮小化してしまうから全ての問題が解決できなくなってしまうのであり,経営そのものの問題としてとらえるべきなんでしょう。

仮にそうだとすれば,公認会計士も弁護士も企業経営それ自体について口を出すことはできませんから,公認会計士や弁護士という立場だけではどうにも手が出ないという当たり前の結論しか存在しないようにも思います。

このことは,監査権限を有する個人または組織であっても同じでしょう。なにしろ監査権限しかないわけですから,企業経営それ自体について口を出すことはできません。

Posted by: 夏井高人 | 2006.09.28 10:40

夏井先生、コメントありがとうございます。

=====
統制のためのポリシー設計は,どうやってみたところで現実の会社組織それ自体及びその中での権限配分を反映せざるを得ないですね。比ゆ的に言えば,一種のミラーのようなものです。

仮にそうであるとすれば,組織が組織ではなく,権限配分も名目に過ぎないようなところでは,どのように立派な文書を作成してみたところで全く意味がないことになるかもしれません
=====
は、まさにおっしゃるとおりです。
 絵に描いた餅ではだめです。しかし、財務報告に係る内部統制の評価及び監査制度では、本当に機能しているかどうかまで踏み込んで評価することになっているので、絵に描いた餅では通用しないことになっています。
 とは言え、本当にどこまで言えるのかというのは、やはり課題であるには違いないのですが・・・

Posted by: 丸山満彦 | 2006.09.29 20:27

丸山 様

夏井です。

上場している公開会社の経営陣の中にはかなり真面目に取り組んでいるところも少なくないので,そういうところについては全く心配していません。

一般に,どういうやり方をとってみたとしても発生する可能性があるようなタイプの問題については,どんな予防策をとっても常に一定確率で発生してしまうわけだし,それは統制のやり方が悪いのではなく,一定確率で必然的に発生する予定のものが単純に具体化しただけということに過ぎないのだろうと思っています。

しかし,過去において刑事事件となったような大会社の事例を検討してみると,立派な会計事務所がついておりながら,経営陣による不正行為をどうやっても阻止することができなかった。それどころか不正行為に加担しているところさえありましたね。

よく考えてみると,ごく単純に経営者のパーソナリティ(だけ)の問題かもしれません。

そのような悪い経営者をもってしまった企業では,投資家も従業員も顧客もとても不幸な存在になってしまいますね。

今回の内部統制のスキームは,複雑すぎてうまくいかないのではないかという懸念がかなりあります。しかし,単純な手口による不正行為を阻止する可能性を少しだけアップする効果はあるかもしれません。その分だけ,悪い経営者はより巧妙な手口を考えるかもしれないし,より悪質なやり方で監査担当者などを買収したり,誘惑したり,脅迫したり,威嚇したりするかもしれません。

監査担当者の独立性と安全性を確保するための何らかの方策を強化する必要があるかもしれませんね。

Posted by: 夏井高人 | 2006.10.01 15:46

夏井先生、コメントありがとうございます。

経営者自身に誠実性が無い場合は、手の施しようがありません。どうやって経営者の誠実性を評価するかは別として、今回の制度では経営者に誠実性が無いことがわかった段階で、統制環境に不備が存在することになります。通常は、重要な欠陥として、内部統制は有効でないと
1)経営者者が評価し、
経営者が自分が誠実でないと評価したことをもって
2)監査人は適正意見をいう
ことになります。

 ちょっと、アホみたいな話なのですが・・・
 そもそも不誠実な経営者が、「自分は不誠実である」と誠実に評価するわけはないので、誠実な経営者であっても、不誠実な経営者であっても、「経営者は誠実である」という結論になり意味がないんですよね。
 そこで、最後の砦が監査人なのですが・・・、一定割合で悪質な監査人は存在するので、監査人に対する規制を厳しくするのは意味があるでしょうね。米国でもそうですからね。
 経済犯罪に対して日本は甘いので、まぁ、無理なんでしょうかね・・・

 今回の内部統制のスキームは、複雑すぎてうまくいかないだろうと私も思っているんですよ。複雑で社会的コストがかかる割りに社会的な便益が少ないだろうと・・・
 某国で失敗してしまったので、日本も同じ制度を入れてくれないと某国が困るということで、某国から要請があったのでしょうかね?

Posted by: 丸山満彦 | 2006.10.01 20:40

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference IT全般統制が有効に機能していなければIT業務処理統制の有効性は保証できないのか・・・:

« 英国 The Combined Code on Corporate Governance: Requirements of Auditors under the Listing Rules of the Financial Services Authority and the Irish Stock Exchange | Main | パスワードが重要なら印鑑管理も重要 »