« 経済産業省 公表 グローバル情報セキュリティ戦略 | Main | 緑のアドレスバーとWebTrust EV »

2007.05.12

システム管理基準追補版をつくるべきではなかったのか・・・

 こんにちは、丸山満彦です。システム管理基準を利用している企業のためにシステム管理基準追補版(J-SOX対応のための・・・)が作られたわけですが・・・

 
 ITGI/ISACAが、IT Control Objectives for SOXをつくっているのも同じ。。。つくるべきだったのか・・・
 ある監査法人は、「IT Control Objectives for SOXの項目については、しろ」と・・・、いや、正確にいえば、
・「IT Control Objectives for SOXに書かれている項目は、評価するんですよね。。。」
・「IT Control Objectives for SOXに書かれている項目のうちで整備しないものがあれば、整備しない理由というのがあるはずですよね。。。」
 という言い方らしいです。。。

 何もないから参考のために、、、ということで例示しているのに、それを事実全部しろと。。。他法人の方でも私と委員会等で顔を合わせる人はそんなことはぜんぜん言わないのに、現場では、全部しろと。。。
 どういうことでしょうかね。。。
 
 システム管理基準追補版についても同じことが繰り広げられているんでしょうかね。。。

【参考】
・2007.05.07 内部統制の評価 やっぱりみんな心配なので過剰反応になるのかなぁ・・・

■ITGI/ISACA IT Control Objectives for SOX関連
・2007.01.02 ITGI 企業改革法遵守のためのIT統制目標(第2版)翻訳版 公表
・2006.10.18 ISACA IT Control Objectives for SOX 2nd Edition
・2006.05.03 ISACA パブコメ IT Control Objectives for SOX 2nd Edition
・2006.03.04 Control Objectives for SOXの翻訳

■経済産業省 システム管理基準追補版関連
・2007.03.31 経済産業省 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」を公表
・2007.02.07 経済産業省のシステム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)について
・2007.01.19 経済産業省 パブコメ 「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)(案)」



【過去の今日】
・2006.05.12 全社的な内部統制と業務プロセスに係る内部統制の関係
・2005.05.12 個人情報相談窓口開設1ヶ月間の相談概要

|

« 経済産業省 公表 グローバル情報セキュリティ戦略 | Main | 緑のアドレスバーとWebTrust EV »

Comments

SHIKIと申します。
 予算や人員配置のために、大手コンサルから敬遠されがちな小規模上場企業のクライアントばかりを抱え、悪戦苦闘している毎日です。
 IT全般統制については、対策立案の際にシステム管理基準解説書が活用できることから、追補版を推奨しています。
 追補版でも、クライアントの許容能力を超えているのは傍目にも明らかで、対応できないといわれるのをなんとかいさめながら取り組んでいるのに、ここにきてCOBITforSOXでやれ、といわれたら正直お手上げです。
 3月に八田教授との座談がありましたさいに、金融庁において、本件についての監査法人とのトラブルに対する窓口を設ける旨の発言をいただきました。やはり早急にこうした窓口を設けていただかないと、システム部門が2~3名程度の弱小上場企業は対応を放棄せざるを得なくなります。

Posted by: SHIKI | 2007.05.13 08:46

SHIKIさん、コメントありがとうございます。IT全般統制の評価ですが、IT全般統制と言う名前がよくないのかもしれません。
 「ITを利用した情報システムによる会計データの処理(内部統制も含む)が適切に行われることを保証するための統制」とは何か・・・を意識したら、チェックリストを眺めなくてもどの程度の内部統制を評価したら分からないでしょうかね。。。

Posted by: 丸山満彦 | 2007.05.13 23:41

> システム管理基準追補版についても同じことが繰り広げられているんでしょうかね。。。

答えがそこにあると考えて、追随している企業は、「システム管理基準追補版にあることは整備(もしくは実施して)します」と監査法人に言う傾向にあるのではないでしょうか。そのように言われれば、監査法人としては、そういうこと(「○○は評価するんですよね」「○○を整備しないなら、理由があるんですよね」)を言わざるを得ないでしょう。そうではなくても、似たようなことをいうような方は多いのでしょうが。

ある一定の基準など、どこにもない、ということを誰もはっきり言わなかったことの当然の結果のように思えます。

Posted by: void | 2007.05.13 23:55

内部統制に不備があっても、法的には別に罰則はないはずなんですけどね。まるやまさんがよく言われるように「格好悪い」だけ。
なんか、どこも「内部統制が完璧でなくてはいけない!」という風潮がありますが、実は虚偽記載・報告さえしなければいいわけで、内部統制がズタボロだったら、「ズタボロです」と評価・報告すればいいだけの話。
あとは、最終的に経営者or株主がそれをよしとするか(リスクを許容できるか?)にかかるんですよね。
その部分で見栄を張って、「完璧」を目指すから、思考停止状態になって余計な出費をしているような気がします。

ただ、お上や監査法人も内部統制に「穴があってもよい」とは立場上なかなかいえないのでしょう。
そういった意味では、企業側だけでなく監査法人も思考停止している人が多いのでしょうか?

Posted by: なかじま | 2007.05.14 09:18

コンピュータ屋です。
実務の現場、今一番厄介なテーマがIT全般統制の対応です。
IT全般統制の場合、直接、財務報告に係るリスクを見ることはできません。いろんなガイダンスが出ていますが、それも混乱の元となっています。
本来の趣旨は参考にということですが、べったりよりどころにしようとする傾向にあります。費用対効果の観点から見ても問題です。実施基準をしっかり見て、自社なりの具体的な達成基準を作るしか手はないと思います。
またそのとき問題になるのが、
システム開発、システム運用、システム基盤、セキュリティ、満遍なく理解をしている人が少ないということです。
私の本音、
J-SOX対応の2年目以降からは、「ITへの対応」ははずしてほしい。他のマネジメントシステム(ISOなど)にまかす、もしくは統合を考えてほしいですね。

Posted by: コンピュータ屋 | 2007.05.14 11:18

"内部統制整備奮闘中"です。
このブログの内容はいつも参考にさせていただいております。
IT統制については、少なくとも3大監査法人は、経産省のシステム管理基準追補版ではなく、IT Control Objectives for SOX 2nd Editionに準拠しているようです。
私の会社の監査人(3大監査法人の1つですが)からは、監査クライアント向けの内部統制文書化マニュアルというか分厚い文書化テンプレート集を渡され(契約を結んで報酬を支払ってですが)、この通り「やれ」と言われています。
この中にIT統制の文書サンプルがあるのですが、COBIT for SOX準拠のチェックリストに加えて、IT統制版のRCMまであります。業務プロセス統制のRCMは実施基準にも例示がありますが、IT統制の別バージョンRCMまで登場しているわけです。
監査法人から「この通りやれ」といわれているこの文書化テンプレート集にまともに付き合っていると、一体どれだけの文書を作る羽目になるのか想像もつきません。
八田先生といいますか、日本の内部統制整備の目玉の1つには、企業の文書化負担の軽減があったかと思いますが、まったく正反対の状況のような気がします。
SHIKIさんのコメントにありました、金融庁における監査法人とのトラブルに対する窓口というのはいつ頃設置されそうでしょうか?
少し前に耳にした噂では、金融庁から監査法人に対して文書化の形式を企業に押し付けることのないようにという趣旨の通達が出されたとも聞きます。
実施基準だけで、あとは企業サイドで各社各様にというのも無理があるのかもしれませんが、企業の規模等の事情を考慮せずに文書化の基準を監査法人で設定し、企業に一律に押し付けるのもどうかという感じです。それに監査人としての独立性の問題もあるのではと思うのですが。

Posted by: 内部統制整備奮闘中 | 2007.05.14 14:50

voidさん、コメントありがとうございます。
> ある一定の基準など、どこにもない、ということを誰もはっきり言わなかったことの当然の結果のように思えます

一定の基準はないのでしょうが、もう少し明確な基準がないと、一般に公正妥当な内部統制の基準に基づいて評価したとは言えないような気もします。

評価する尺度はどこまで明確になっているのか・・・

Posted by: 丸山満彦 | 2007.05.14 21:35

なかじまさん、コメントありがとうございます。

内部統制の評価のためにすごーいお金をかけて赤字になるよりも、内部統制には不備はあるものの黒字の企業のほうがよい。。。

ということでしょうかね。。。

赤字になることを恐れて粉飾決算するように、内部統制の不備を報告したくないがために粉飾報告するのはダメですね。。。

Posted by: 丸山満彦 | 2007.05.14 21:41

コンピュータ屋さん、コメントありがとうございます。

山口先生の2007年5月12日 (土)のブログ、「週末上京日記(耳寄り情報あり)」に書かれていたコンピュータ屋さんのコメントとそれに対する山口先生のコメントを読んで今回の話を書いたわけですが。。。

監査人はリスクをとりたくないので、できる限りのことはしろと、よくわからないけど、It contrrol objectives for SOXに書いているならしろと。。。そういう方向に流れるのは想定されますよね。。。

=====
費用対効果の観点から見ても問題です。実施基準をしっかり見て、自社なりの具体的な達成基準を作るしか手はないと思います。
=====
なのですが、監査人にその能力がなければ、会社がつくった独自の基準がIT control Objectives for SOXと違っていればなぜ違うのか・・・その理由を説明しろと・・・そういう方向に流れるのも想定できますよね。。。

ということで、「システム管理基準追補版をつくるべきではなかったのか・・・」ということにつながるんですよね。。。

Posted by: 丸山満彦 | 2007.05.14 21:55

内部統制整備奮闘中さん、コメントありがとうございます。

=====
IT統制については、少なくとも3大監査法人は、経産省のシステム管理基準追補版ではなく、IT Control Objectives for SOX 2nd Editionに準拠しているようです。
・・・・・
この中にIT統制の文書サンプルがあるのですが、COBIT for SOX準拠のチェックリストに加えて、IT統制版のRCMまであります。業務プロセス統制のRCMは実施基準にも例示がありますが、IT統制の別バージョンRCMまで登場しているわけです。
監査法人から「この通りやれ」といわれているこの文書化テンプレート集にまともに付き合っていると、一体どれだけの文書を作る羽目になるのか想像もつきません。
=====
 海外でのSOX法の実績がありますからね。。。それを参考にするほうが監査人は安心できますよね。。。ただ、米国でやりすぎた・・・といわれているレベルのことを日本の企業にも同じように要求している場合があるかも知れませんね。。。

「金融庁における監査法人とのトラブルに対する窓口」というのが設置されるとよいですね。。。

Posted by: 丸山満彦 | 2007.05.14 22:02

こんにちは。いつも参考にさせて頂いております。
実施基準の原理原則に従えば、企業側が主体的に統制のあり方を決定するとともに、外部に対して説明していく必要がある筈です。であれば、結果的に監査法人と見解の違いが生じて評価結果に欠陥や不備が記載された場合には、予算と時間の許す範囲で優先順位を付けて誠実に対応したことを主張し、今後の方針・計画なども明らかにした上で投資家の判断を仰ぐべきではないでしょうか?
唯一無二の基準などという無い物ねだりをせず、追補版を含めた複数の基準があることで理論武装のための「武器」が増えたと考えるほうが良いと思います。追補版を使ってIT統制をするという企業が増えれば、監査法人側も対応を考える必要が出てくるでしょうし。

Posted by: Dick | 2007.05.15 10:50

 私の印象では、「IT全般統制は、各社によってそれほどリスクが異ならないのでは?(=リスクはほとんど同じ)」と思っています。
 「システム管理基準追補版」には、「システム管理基準や情報セキュリティ管理基準を用いる際、重要なことは、すべての管理策を実施することではなく、自社のIT に係るリスクを低減するに足る統制を実施することである。」とありますが、確かに「管理策」レベルでは色々手段があるにしても、「統制目標(≒リスク)」では、各社に大きな差が無いものと思います。
 確かに、「パッケージ製品をノンカスタマイズで使っています」というような会社だと、開発に関するリスクはないかもしれません。しかしながら、多くの会社では、何らかの開発を行っている・行わせていると思います。なので、例えば「システム管理基準追補版」における「開発・調達」の「統制目標」を見直すことはまず必要はないと思います。

 現場で「全部しろ」と言っているのは、「統制目標」レベルであって、「管理策」レベルで「システム管理基準追補版」もしくは「IT Control Objectives for SOX」と同じことを行え、と言っているのではないと思います。でも、どうしても「基準」がでると、そちらに引きずられるのは、保守的な判断を前提とするとしょうがないですね。(監査はやりすぎで責められることは少ないですが、やらないで責められることが多いですから)


 私が勘違いしているかもしれませんが、「システム管理基準追補版 第IV章」で、【統制目標の例】にあって【統制の例と統制評価手続の例】にない統制目標って、どのように捕らえればよいのでしょうか?リスクと結びついていない統制目標なのでしょうか?あまり読み込んでいないので、勘違いしている可能性が大ですが。

Posted by: Mulligan | 2007.05.15 23:40

Dickさん、コメントありがとうございます。
=====
実施基準の原理原則に従えば、企業側が主体的に統制のあり方を決定するとともに、外部に対して説明していく必要がある筈です。であれば、結果的に監査法人と見解の違いが生じて評価結果に欠陥や不備が記載された場合には、予算と時間の許す範囲で優先順位を付けて誠実に対応したことを主張し、今後の方針・計画なども明らかにした上で投資家の判断を仰ぐべきではないでしょうか?
=====
そのとおりでございます。
そこで、監査法人側が「なっとく」すればよいのですが、監査法人側としては、あとで決算修正や粉飾が発見されたときの監査人に対する責任追及をおそれて、厳しめに評価する傾向が高まると思うんですよね。その際に、「それは厳しすぎるんではないですか」と企業側が行ったところで、「システム管理基準にも書いているし、COBIT for SOXにも書いていますよね。。。」なんていわれると自分(情報システム部門)のせいで「内部統制が有効でないと言われるとまずい・・・」ということで対応をしてしまうのかもしれませんね。。。
 いずれにしても、一般に公正妥当と認められる内部統制の基準が確立していない?中で、制度を普及させようとするために問題が起こってくるわけで、制度普及時の一時的な副作用と言われればそうかもしれませんが、それにしてはちょっときつい副作用かもしれません。。。

Posted by: 丸山満彦 | 2007.05.16 09:15

Mulliganさん、コメントありがとうございます。
=====
 私の印象では、「IT全般統制は、各社によってそれほどリスクが異ならないのでは?(=リスクはほとんど同じ)」と思っています。
・・・・・
 現場で「全部しろ」と言っているのは、「統制目標」レベルであって、「管理策」レベルで「システム管理基準追補版」もしくは「IT Control Objectives for SOX」と同じことを行え、と言っているのではないと思います。
=====
 そのとおりです。実は「システム管理基準」には統制目標がないので、今回の追補版では、絶対に統制目標を書かないと使えないと主張して統制目標が記載されることになりました。。。
 ただ、「統制目標レベル」を全部しなければならないというのは、なぜか・・・というところが十分に説明できていないんですね。しかもどの程度達成できていればよいのか・・・ということも。。。
●実は、現在の統制目標レベルのさらに上位の統制目標や、さらにその上位の統制目標が必要なのではないかと思っています。

例えば、
●.期待したIT処理及びIT業務処理統制が有効に機能することを保証する。

●.1.期待する要件を満たすプログラムのみが実行される環境にある。
●.2.期待する要件を満たすプログラムのみが適時に実行される。
●.3.実行(本番)環境のプログラム及びそのプログラムで利用される及び利用されたデータは改ざんから保護されている。

で、この下位の統制目標として、現在のシステム管理基準追補版やCOBIT for SOXの統制目標が存在すると位置づけることはできませんかね。。。

より原則ベースにするとか・・・そういうことがないと今の統制目標がなぜ存在するのかが明確でないような気がするんですよね。。。

どうでしょう。。。

Posted by: 丸山満彦 | 2007.05.16 09:32

レスありがとうございます。
情シス部門が自らの失点をおそれて過剰な対応に、ということは確かにあるかもしれませんが、先行している一部の大手企業以外は過剰対応する余裕(時間・予算・人材)さえ無いでしょうから、金融庁がこの状況を放置するならば、監査法人の評価基準が厳しすぎるのでも国が監査法人に求めるサービスレベルが現実に即していないのでもなく、対応する力の無い企業を市場から追い出すというのが国策なのだと考えるほうが良いかもしれません。
まあ、内部統制のために金を出そうともしないで統制の不備を理由に情報システム部門の責任を追求する経営者がいたら、全社的な統制に不備があることを身をもって示しているようなものですけどね。

Posted by: Dick | 2007.05.17 10:21

 丸山さん、コメントありがとうございます。
 「何をリスク/統制目標と捕らえるか?」はなかなかサンプル・基準が見当たらないようです。「IT Control Objectives for SOX」の「統制目標」も、リスクが何であるかが明確になっていないように思います。(管理策を分野別にまとめたもの、という感じです)。「システム管理基準追補版」の統制目標も、個々の管理策によってカバーされるリスクの範囲、といったところでしょうか?
 コメントいただいたように「システム管理基準追補版」の「統制目標」レベルだと、「上位の統制目標」を作った方が良いと思います。
 私の経験では、リスクや統制目標のレベル感を、被監査人・コンサルタント・監査人等の関連当事者間で合わせるのが大変でした。
 リスクと一言で言っていますが、大きくは”財務諸表の不正表示リスク”から卑近には”IDの不正利用リスク”まで、レベル感が合っていないと話が錯綜してしまうことが多いと思います。
 上手く、”財務諸表の不正表示リスク”から”IDの不正利用リスク”まで繋がるように、リスク階層が標準化できると良いですね。ここがあいまいだと現場の納得が得られないですから。いっそ、「そもそも内部統制とは…」とか考えず、「管理策レベルでこれだけは必須」と有無を言わずに言い切ってしまったほうが簡単だったりもするのですが。

Posted by: Mulligan | 2007.05.17 22:53

Dickさん、コメントありがとうございます。
> 内部統制のために金を出そうともしないで統制の不備を理由に情報システム部門の責任を追求する経営者がいたら、全社的な統制に不備があることを身をもって示しているようなものですけどね。
そのとおりですね。。。
 ところで、投資家にとって適正な財務報告を行うための内部統制が整備・運用されていることは重要なのはわかるけど、それよりも今は中国市場の開拓に資源を割きたいので、制度開始3年間は内部統制の不備を報告するのもやむなしと思っている。。。という経営者がいた時にどのように評価すべきですかね。。。

Posted by: 丸山満彦 | 2007.05.21 01:48

Mulliganさん、コメントありがとうございます。。。
=====
私の経験では、リスクや統制目標のレベル感を、被監査人・コンサルタント・監査人等の関連当事者間で合わせるのが大変でした。
=====
そうなんですよ。。。グレーゾーンが広いとどうしてもこのレベルあわせにコストがかかる。。。

=====
リスクと一言で言っていますが、大きくは”財務諸表の不正表示リスク”から卑近には”IDの不正利用リスク”まで、レベル感が合っていないと話が錯綜してしまうことが多いと思います。
 上手く、”財務諸表の不正表示リスク”から”IDの不正利用リスク”まで繋がるように、リスク階層が標準化できると良いですね。
=====
 そうなんですよ。。。評価意見形成のフレームワークが欲しいところです。こういうところに学者の知恵が必要なんですよね。。。
 ということで、このフレームワークは八田先生、橋本先生、町田先生などに期待です。よろしくお願いします。
 内部統制の有効性に関する意見表明のためのフレームワーク。。。

Posted by: 丸山満彦 | 2007.05.21 01:54

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference システム管理基準追補版をつくるべきではなかったのか・・・:

» [Security]IT Control Objectives for SOXにまつわる、「いつかきた道」 [cyberarchitect]
「まるちゃん」さんが嘆いていらっしゃる。 システム管理基準追補版をつくるべきではなかったのか・・・ http://maruyama-mitsuhiko.cocolog-nifty.com/security/2007/05/post_5.html  ITGI/ISACAが、IT Control Objectives for SOXをつくっているのも同じ。。。つくるべき... [Read More]

Tracked on 2007.05.15 01:34

« 経済産業省 公表 グローバル情報セキュリティ戦略 | Main | 緑のアドレスバーとWebTrust EV »