全社的な内部統制「ITへの対応」が有効な場合とは、有効でない場合の対応とは、、、
こんにちは、丸山満彦です。全社的な内部統制が有効かどうかを評価して、業務プロセスに係る内部統制を評価しなければならないのですが、具体的にどのような場合に全社的な内部統制が有効であるかと判断するのは難しい場合が多いと思うのですが、みなさんはどう思っておられますか???
たとえば、「ITへの対応」について考えた場合、実施基準の参考1に記載している項目を例に考えるとどうなるのでしょうかね。。。
• 経営者は、ITに関する適切な戦略、計画等を定めているか。
=====
●どういう場合であれば、「適切な戦略、計画等」と判断することが、どういう場合であれば、「適切な計画、計画等」でないと判断しなければならないのか?
●定めた戦略、計画等が「適切でない戦略、計画等」の場合、戦略、計画等を定めていない場合には、業務プロセスに係る内部統制にどのような影響が及ぶのか?その場合、どのような対応をしなければならないのか?
=====
• 経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏まえた方針を明確に示しているか。
=====
●具体的にどのような方針であれば、「IT環境を適切に理解し、これを踏まえた方針を明確に示している」と判断できるのか?あるいは、具体的にはどのような場合に、「IT環境を適切に理解し、これを踏まえた方針を明確に示して」いないと判断しなければならないのか?
●「IT環境を適切に理解し、これを踏まえた方針を明確に示して」いない場合には、業務プロセスに係る内部統制にどのような影響が及ぶのか?その場合、どのような対応をしなければならないのか?
=====
• 経営者は、信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断しているか。
=====
●どういう場合であれば、「信頼性のある財務報告の作成という目的の達成に対するリスクを低減するため、手作業及びITを用いた統制の利用領域について、適切に判断」と判断しているといえるのか、どういう場合であれば、「適切に判断していない」と判断しなければならないのか?
●適切と判断していない場合には、業務プロセスに係る内部統制にどのような影響が及ぶのか?その場合、どのような対応をしなければならないのか?
=====
• ITを用いて統制活動を整備する際には、ITを利用することにより生じる新たなリスクが考慮されているか。
=====
●具体的にどのようなことをしていれば、「ITを利用することにより生じる新たなリスクが考慮」していると判断することができるのか?あるいは、具体的にどのようなことをしていなければ、「ITを利用することにより生じる新たなリスクが考慮」していないと判断しなければならないのか?
●「ITを利用することにより生じる新たなリスクが考慮」していない場合、業務プロセスに係る内部統制にどのような影響が及ぶのか?その場合、どのような対応をしなければならないのか?
=====
• 経営者は、ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めているか。
=====
●どういう場合であれば、「ITに係る全般統制及びITに係る業務処理統制についての方針及び手続を適切に定めている」と判断することができるのか?または、どういう場合であれば、「適切に定めていない」と判断しなければならないのか?
●「適切に定めていない」場合には、業務プロセスに係る内部統制にどのような影響が及ぶのか?その場合、どのような対応をしなければならないのか?
=====
« ITGI/ISACA 「取締役会のためのITガバナンスの手引」と「情報セキュリティガバナンス - 取締役会と役員に対するガイダンス」の日本語版を公表 | Main | 不十分な内部統制が犯罪者を作ってしまう。。。 »
Comments
コンピュータ屋です。
おはようございます。
全社的な内部統制「ITへの対応」の場合、
・有効と言える判断、目標値を具体的に自社で決める。(主観的ですが)
・目標値とのギャップを評価する
・改善、整備スケジュールを立てる
・1年目とそれ以降とを明確にし、対応する
こんなところでやっています。
一般的に現状評価で有効と言える項目はほぼありません。(中小企業レベルでは)
全社的に「ITへの対応」のこと理解を得る良い機会です。
悩んでおられる情報システム部長さんへ
Posted by: コンピュータ屋 | 2007.08.16 07:53
おはようございます。
1つめの項目ですが、中期的な経営戦略にもとづいた情報化計画を策定し、毎期事業計画に反映して、実現に取り組み、実績を評価するという一連の仕組みとしての規程及び記録を残している。ということで対応しています(なんとなくISO的)。
「枠組み」や「記録」が十分ではない、あるいは「内容のおおむねの整合性」といったことしか評価できないのではないでしょうか。
経営側としては、そもそも経営戦略や情報化計画の中身は、会計士
にとやかくいわれる筋合いの話ではないでしょう。
私は、情報化計画策定のコンサルの実績もありますが、経営戦略にもとづいた情報化計画の立案というのは、現場では至難のわざです。教科書的にいわれるアマゾン等のダイナミックなケースはごくまれです。
全社的統制の是正策についてコンサルしないところも少なくないようですね(できない?)。
正直、戦略、人事、IT、会計、経営管理等を比較的幅広く実績のあるコンサル会社でないと難しいのでは?と思います。
職能要件書の作成と運用は?教育との連携は?、全社的な統合リスク管理システム等の提案は?経営戦略と情報化計画の整合は?等などです。
例えば、「教育計画書の作成」といった教科書的な対応は提案できるでしょうが、実践的、効率的な対応となると実際のコンサル経験がないと見えません。
今後多くの会社で、今回の法制度対応として、まったく実用性のない形式的な規程や記録、会議などが展開されるのでしょうね。「業務の効率性」が大きく阻害されそうですね。
Posted by: MSHIKI | 2007.08.16 08:45
コンピュータ屋さん、コメントありがとうございます。。。ちょっと、返事が遅れましたが。。。
小さい企業の内部統制ですが、経営者による直接監督というのが可能ですので、職務分掌をしなくても経営者による直接監督をすればよいですよね(例えば、毎日の社長が通帳の残高と帳簿残高を確認する)とか。。。
小さな企業で、IT戦略とか言われてもね。。。という気もしませんか???
IT全社的統制が、どれほど財務報告の信頼性に寄与するのか?ということですが、具体的に考えるとあまり関係のない場合も多いように思ったりもしますよね。。。でも、参考1に書かれているとどうしてもしなければならない気になってしまいますよね。あくまでも参考ですから、しなくても良いはずなんですけどね。。。このとおり。。。
じゃぁ、何がIT全社的統制として財務報告の信頼性のために必要かということが根本的に問題となるわけですけど、よくよく考えてみると「実はあまり関係ないんじゃないの???」という気もしてきませんか???
Posted by: 丸山満彦 | 2007.08.18 09:58
MSHIKIさん、コメントありがとうございます。。。
=====
今後多くの会社で、今回の法制度対応として、まったく実用性のない形式的な規程や記録、会議などが展開されるのでしょうね。「業務の効率性」が大きく阻害されそうですね。
=====
そういう恐れは非常にありますよね。。。
今回の問題提起は2つの側面があります。。。
1.IT全社的統制は財務報告の信頼性にどれほど寄与しているのか?
ということを意識しながら。。。
・・何が達成目標であるべきなのか?
・・それが達成していることをどのようにして評価すべきなのか?
・・達成していなかった場合、じゃぁ、財務報告の信頼性は損なわれているのか?
2.参考1の評価項目の例は、そもそもクライテリア(評価指標)になりえているのか?
・・達成しているかどうかを評価できるほど評価のメモリは明確なのか?
ということです。。。
内部統制はどこまですればよいのか良くわからない・・・という疑問の裏にあるのは、
・何を達成すれば、財務報告の信頼性を維持できるのか
・どの程度それが達成できていると、財務報告の信頼性を維持できるのか
・達成できていることを評価するための指標はどのようなものなのか
ということだと思うのですよね。。。
判断尺度となるメモリの単位やメモリ自体がぼやけていると言う感じですかね。。。
なので、「概ね整合」という表現を使いたくなる気持ちがよくわかります(笑)
Posted by: 丸山満彦 | 2007.08.18 10:06