問題です! 日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制ですか?(2)
こんにちは、丸山満彦です。。。「問題です! 日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制ですか?」のコメントを大変興味深く読ませていただいています。。。
いまのところの多数説は、「日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制です」という感じですかね。。。
考え方1が正しいとすると・・・
「日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制です」
ということになりますが・・・
一方、「人間が売上を集計すると言う処理は業務処理統制とはいえません」よね。。。
コンピュータが集計をすれば業務処理統制、人間が集計をすれば業務処理統制ではない・・・
という結論になると思うのですが、その違いについてはどのように説明したらよいのでしょうか・・・
Comments
確かに、「人間が売上を集計すると言う処理は業務処理統制とはいえません」が、このような手作業の集計を行っている場合には、ダブルチェックを行っていないと、コントロールは有効とはいえませんよね?
このダブルチェックを不要にしているのが、”コンピュータによる集計”なわけですから、集計に関するプログラミングが正しく行われているか否かということをIT業務処理統制として検証する必要があると思うのですが。
Posted by: S | 2007.12.24 00:05
Sさん、コメントありがとうございます。
「コンピュータが集計をすれば業務処理統制、人間が集計をすれば業務処理統制ではない」というのは、正しいでしょうか???
ということがポイントですね。。。
「集計に関するプログラミングが正しく行われているか否か」という統制は、IT業務処理統制やIT処理が適切に機能することを保証するためにもちろん必要な統制ですね。。。
Posted by: 丸山満彦 | 2007.12.24 07:33
オモシロイ議論ですね。
研究報告公開草案が、統制の範囲を限定的に解釈することで(おそらくは)テスト対象を絞れる理屈付けをしようとしているところで、ここに上がっている意見は、どちらかというと広めに解釈する方が多いようですね。
統制=手続+リスク軽減の意図(及びその結果)
ですから、IT自動化計算が「統制なのかどうか」という客観性(事実)よりも、「統制としてみるかみないか」という主観性(意思ないし判断)の問題と考えました。
私の考えは、売上の集計(ITなら自動集計、人間なら手集計)自体は作業(手続)にすぎません。集計を正確にするための手続(プログラムのインスペクションとか走行試験とか、計算の再実施とか)は、統制ということですね。
リスク軽減しようという意思がある手続であって、さらに軽減に対するより強い期待があれば、それは重要な統制ということになりますね。あくまで判断の問題ですから、教科書的に決められないところですね。
Posted by: 閑人 | 2007.12.24 14:41
閑人さん、コメントありがとうございます。
> 統制=手続+リスク軽減の意図(及びその結果)
なるほど・・・統制環境というのがあるので、手続とは限らないですが、まぁ、ほとんど手続ですね。。。
で、
>集計を正確にするための手続(プログラムのインスペクションとか走行試験とか、計算の再実施とか)は、統制ということですね。
は、そうなんです。。。
問題は、「コンピュータが集計をすれば業務処理統制、人間が集計をすれば業務処理統制ではない」 ということが真か偽かということなんです。
もちろん、コンピュータが正しく集計することを保証する統制が存在しているという前提です。人間についても同様で、正しく計算できるような教育をちゃんと受けている人間が集計をしているという前提です。。。
Posted by: 丸山満彦 | 2007.12.25 00:10
おはようございます、せろまるです。
その前提条件が付くのならば、偽だと思います。
なぜなら、どちらにも正確性をチェックする機能が存在するはずだからです。
この機能がなければただの「手続き」で、この機能が存在すれば「業務処理統制」ではないでしょうか?
Posted by: せろまる | 2007.12.25 09:25
何度も恐縮です。
設問の前提が不明確です。
設問が
「販売システムが自動集計して会計システムにデータが自動転送されるようなこと」を指しているのであれば、
それは”自動化された会計処理手続き”であって狭義の業務処理統制ではありません。
(ITに係る内部統制の枠組みⅢ-2.(3)①:システムが行う自動仕訳や自動集計などは自動化された会計処理手続きである)
Posted by: ソックス担当 | 2007.12.25 10:18
設問が
「販売システムの合計値と会計システムの合計値を自動集計し照合して差異があればアラームを出すようなこと」を指していれば、それこそが狭義の、自動化された業務処理統制です。
「ITに係る内部統制の枠組み」を熟読されることをお勧めします。
Posted by: ソックス担当 | 2007.12.25 10:27
せろまるさん、ソックス担当者さん、コメントありがとうございます。
前提が不明瞭だったかもしれません。すみません。。。
最初にもどると設問は、単に「日々の売上をコンピュータにより自動集計(計算)するという処理はIT業務処理統制ですか?」ということです。
これは、せろまるさんも、ソックス担当者さんも自動化された会計処理であって、自動化された業務処理統制ではないということですね。。。
公認会計士協会から公表されて「ITに係る内部統制の枠組み」(公開草案)でも、そのように読めます。。。
ところが、最近同じく公認会計士協会から公表された「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(公開草案)では、例えば次のものが統制行為の欄に書かれていますね。。。
=====
購買管理システムでは、入荷データ作成時に購入価格と検収数量に基づいて仕入金額が自動で計算される。
=====
で、最初の設問になるわけです。。。
自動計算は、統制行為なのかどうか・・・
Posted by: 丸山満彦 | 2007.12.25 11:13
丸山先生
お忙しいのに恐縮です、勉強になります。
もしかして「自動化された業務処理統制に関する評価手続」のことでしょうか?
そのP4の(4.仕入計上)(1)
のことでしょうか?
もし、この部分を指してらっしゃるなら、
これはたんに業務の流れを書いているので・・・
統制行為ではないですよね。
P5のフロー図でいうと菱形マークが統制行為です。
Posted by: ソックス担当 | 2007.12.25 11:45
P5のフロー図がわかりやすいですね。
ここでいう検収プロセスの菱形マーク「発注データと自動照合」という分部、
これこそがITAC、つまり自動化された業務処理統制です。
Posted by: ソックス担当 | 2007.12.25 11:52
失礼しました。
(別紙)の表のことをおっしゃてるのですね。
たしかにここの統制行為の欄に当該行為が書かれています。
これは
「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(公開草案)
Ⅲ-1自動化された業務処理統制の意義
に記載されている通り
”自動化された会計処理手続き”は広義の自動化された業務処理統制に含まれるからです。
Ⅲ-2(3)②
に記載されている通り、ITGCに依拠するだけではなく、サンプリングを複数機会もうけて有効なことを証明しなければなりません。
なので別紙の表でCAATによりそれを確かめると言っているのです。
Posted by: ソックス担当 | 2007.12.25 12:09
私見ですが、
いづれにしてもこのようなことは枝葉末節な事項であり、重要なのは
キーコントロール(統制上の要点)が何か?
であるわけです。
トップダウン型リスクアプローチである点を忘れてはならないと。
一番懸念しているのが、監査人がこのような枝葉の事にこだわって我々企業に負担をかけることです。
杞憂であることを祈らざるを得ません。
Posted by: ソックス担当 | 2007.12.25 14:47
ソックス担当者さん、コメントありがとうございます。
丁寧な説明ありがとうございます。。。
> 重要なのはキーコントロール(統制上の要点)が何か?
はい、その通りですね。。。
各現場で、会計士がこれは内部統制かどうかという点で枝葉末節にこだわった議論を進めると大変なことになります。
まぁ、このブログは、「きまぐれ日記」ですので、まぁ、気軽にいろいろと言い合うのがよいと思います。。。もちろん、それぞれの人の立場もあるでしょうが、個別の企業の意見を代表しているわけでもありませんから、気軽にですね。。。
さて、ということで・・・
・・・枝葉末節な話はどうでもよいのですが、扇の要の部分では細かい点までつめておかないといけませんね。。。
法律などのルールの解釈があいまいであると現場で混乱が生じますね。なので、法律の条文やルールを作る場合は、細かい点までつめていかなければいけませんね。。。
特に、用語の定義は非常に重要ですね。。。
今回の制度は内部統制を評価する制度なので、内部統制になるのかならないのかをルールの段階で整理しておくのは重要ですね。。。でないと、全国3000社?の上場企業で同じような議論が行われるのは、大いなる損失ですよね。。。
Posted by: 丸山満彦 | 2007.12.25 18:19
こんばんわ、せろまるです。
===
でないと、全国3000社?の上場企業で同じような議論が行われるのは、大いなる損失ですよね。。。
===
そこまで議論を詰める企業は損失を出してしまいそうですが、良い内部統制が確立されそうですね。
すぐにコストの話をだしたり「業務に支障をきたすから」と情報セキュリティすら守ってるフリをする現場を見ていると、こういった議論は楽しくて仕方ありません。。。
最早、一時の利益をあげるよりも、今から2年くらいでしょうか、利益を多少落としてでもしっかりとした体制をつくり、BCM・BCPを作成すべきと思うのですが。。。
Posted by: せろまる | 2007.12.25 23:50
いろいろ生意気言ってすいません。
こういうやり取りで私自身、理解が深まり、記憶も定着します。
今後もこのブロブを読ませて頂きます。
ホントなら弁護士の先生とこんなお話すれば、報酬お支払せねばなりません・・・
ありがとうございました。
Posted by: ソックス担当 | | 2007.12.26 11:46
中堅企業でSOX担当を行っているtonchanです。
このお話はたいへん面白く読ませていただいております。「実施基準」との関係で、私が考えていることをお話します。
1.「実施基準」では、フロー上に得意先マスタが書かれそのチェックが統制と読み取れます。
2.この部分をIT(システム上)では、「得意先マスタから得意先名称等を表示する。」と記載するとプロセスになります。これを「得意先マスタに存在しないと受注入力できない。」とすると統制になると思います。
3.今回の集計については、「日々の売上を自動的に集計する。」という以外には書きようがなく、これだけでは統制になりえないと思います。
4.コメントでもありましたが、「販売システムの売上合計と会計システムの売上合計を自動的にチェックする。」または「事業所システムの売上合計と全社回収システムの売上合計をチェックする。」とすれば統制になると思います。
私は以上のように考えておりますが、在籍企業の規模からしてIT統制を重視することはできません。それよりもテスティングの合理性、業務プロセス統制を含めてキーコントロールを洗い出すほうが重要だと思います。
議論に横から口をはさみ申し訳ありませんでした。今後共に新たな議論を楽しみにしております。
Posted by: tonchan | 2007.12.26 16:03
>コンピュータが正しく集計することを保証する統制が存在しているという前提です。人間についても同様で、正しく計算できるような教育をちゃんと受けている人間が集計をしているという前提です。。。
会計数値のアサーションを直接的に強化させることが統制活動、間接的に補強するのが統制環境と考えています。
つまり、コンピュータを正しく動作させるとか、人間がきちんと仕事をするよう教育することが統制活動であり、あるいはそういう体制に持っていくことが一つの統制行為であって、その結果として人間がやるとかITがやるということは単なる作業ですね。
得意先から検収書をもらうことが統制ですかという質問に対しては、それ自体は単なる手続ですと答えます。検収書と売上数値とを何らかの形で照合確認し、売上の実在性を「より合理的に」担保することが統制なのでは。
すなわち質問の答えは、ITを使って計算することは手続であり、ITを正確に動かすように担保する行為が統制という理解です。
Posted by: 閑人 | 2007.12.26 20:02
●せろまるさん、コメントありがとうございます。
=>なんで、BCMにいくんや(笑)。資本市場の適正化を図るための法律ですから、個々の企業にとっては必ずしもかけるコスト以上のメリットを享受できないかもしれませんね。。。
●ソックス担当さん、コメントありがとうございます。
> いろいろ生意気言ってすいません。
いえいえ、いろいろと自由闊達に議論できるほうがよいので、あまり恐縮せずにズバズバとお願いしますね。。。気まぐれ日記ですから。。。
●tonchanさん、コメントありがとうございます。
> 議論に横から口をはさみ申し訳ありませんでした。
そんなことないです。説明わかりやすいです。。。単に自動計算するというプロセスは統制ではないという感じですかね。。。
●閑人さん、コメントありがとうございます。
やっぱり、単に自動計算するというプロセスは統制ではないという感じですかね。。。
=====
俺(私)は違うぞ・・・という意見の方もコメントをお願いします(コメントしずらいかもしれませんが・・・まぁ、そんなことは気にせずに・・・)。
Posted by: 丸山満彦 | 2007.12.27 09:32