« 経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」 | Main | 固定ID問題が相変わらず問題にされない。。。 »

2008.10.10

IT業務処理統制は誰が識別すべきか。。。

 こんにちは、丸山満彦です。このタイミングで、IT業務処理統制は誰が識別すべきか悩んでいるという話を聞いてちょっとびっくりしておりますが。。。
 IT業務処理統制は簡単にいうと、「アサーションに直接関係する統制のうち、人間だけではなくてコンピュータも利用して行っている統制」です。たとえば、「売上金額の正確性を確保するために、単価マスターの数字以外が入力できないようにする」というのは、売上の正確性に関係するIT業務処理統制と考えることができます。
 さて、このようなIT業務処理統制は誰が識別すべきか、つまり業務部門側とIT部門側の誰が識別すべきかというのが問題になっている会社もあるようです。
 この問題を解決するためには、オーナーとカストディアンという関係を整理するとよいと思います。。。

 
 ポイントは、誰が結果責任(アカウンタビリティ)を持っているのか、誰が遂行責任をもっているのか?を区別することだと思うんです。
 たとえば、販売プロセスを考えてみると、会計原則に従った処理をするためにプロセスを整備し運用する責任は、営業部門側にあります。したがって販売プロセスに結果責任を持っている人は営業部長となりますよね。私はこのような営業部長をプロセスオーナーということにしています。
 売った金額を網羅的に、正確に処理する責任はプロセスオーナーである営業部長にあります。ここで問題がでてきます。この処理を営業部長の部下がしている場合は当然に営業部門側で責任をとることが明確なわけですが、IT業務処理統制はITが行っているのでIT部門側が行っていることになります。
 さて、IT部門と営業部門の関係をどのように考えるか?ですが、委託と考えるとすっきりすると思います。営業プロセスの一部を情報システム部門に委託しているわけです。IT部門はカストディアンというわけです。カストディアンとは、執事、管理人、後見人という意味ですが、営業部門側の仕事を手伝っているイメージですね。なので、IT業務処理統制は第一義的にはたとえば営業部門側で識別していく必要があります。

 とはいうものの、実務的にはどのようなIT業務処理統制が情報システムに組み込まれているかを業務側の人が識別することは難しい場合が多いと思います。そこで、私がお勧めしている方法は
1.業務側がIT業務処理統制も含めた業務処理統制の識別する責任があることを認識する
2.具体的なIT業務処理統制の識別に当たってはIT部門が協力する(たとえば、業務処理統制を識別する際のヒアリング等にIT部門の人も仕様書等をもって参加してもらう)
という協力体制をとる方法です。

 誰がするのか?という問いになるとあいまいになります。最終的には業務側の人が責任をもつけど、統制を識別するさいにはIT部門が協力するということを明確にすれば話は簡単になります。。。

|

« 経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」 | Main | 固定ID問題が相変わらず問題にされない。。。 »

Comments

>という協力体制をとる

これがなかなかできないんですよね。

業務側:ブラックボックスでどうなっているか分かりません。
IT側:仕様を決めたのは君たちだろ。

あくまでもリスクアプローチに基づく会計上の統制なので、リスクに対応する部分だけを拾い上げればいいのですけどね。

Posted by: 閑人 | 2008.10.16 20:30

閑人さん、コメントありがとうございます。

> これがなかなかできないんですよね。
そうなんです。これは絶対にしないといけない、自分たちのためだ。。。と思うと積極的に協力できるんでしょうけどね。。。

Posted by: 丸山満彦 | 2008.10.18 18:47

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference IT業務処理統制は誰が識別すべきか。。。:

« 経済産業省 パブコメ「情報システムの信頼性向上に関するガイドライン第2版(案)」 | Main | 固定ID問題が相変わらず問題にされない。。。 »