« 国民が自律できなければ法律で規律するしかないのかなぁ・・・ | Main | 内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる »

2008.10.28

IT全般統制の統制目標 (同業他社からもほめられました(笑))

 こんにちは、丸山満彦です。内部監査推進全国大会で話をした内容です。前から話をしていた内容ですが、同業他社(KPMG、PwC)の人からも「わかりやすい!」とほめられました(笑)。IT全般統制について、チェックリストがまずでてきますよね。。。チェックリストの前にある本質は何ですか?ということを説明したスライドです。

 
01
 
こんな感じだと思うんですね。。。

|

« 国民が自律できなければ法律で規律するしかないのかなぁ・・・ | Main | 内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる »

Comments

>チェックリストの前にある本質は何ですか?

チェックリストだとか、3点セットなんてものがありますと、ついそちらに目を奪われて本質が見えなくなりますね。

一方で、統制目標を示したとしても、"具体的に何をやったらいいの、という声がすぐに聞こえてきそうです。

統制目標から入っていく方が簡潔に整理できると思っているのですが、そこから具体的なもの(チェックリストやRCM)を導くところのハードルが高いようで、ここの部分を他人に説明するのがけっこう大変です。

Posted by: FN | 2008.10.30 00:50

FNさん、コメントありがとうございます。

RCMは公認会計士試験に合格した人でも2年程度の実務経験を踏んでそれなりのものがかけるようになるものだろうと思っています。

なので、監査や内部統制の知識が十分ではなく、またそのような観点からの実務経験が不十分な人がRCMを作ろうとすると大変だろうなぁ・・・と思うわけです。。。

Posted by: 丸山満彦 | 2008.11.01 17:05

統制目標(監査人にとっては監査目的になりますが)、私が新人の頃は次のように教わりました。

資産:実在性と評価(回収可能性)
負債:網羅性
収益:実現
費用:期間帰属
資本:適法

20年昔の話ですが、アサーションとか難しい言い方をするより、このほうがよほどすっきりするので、今でも後輩指導には使っています。

ITGCもこのくらいシンプルに捉えておけば、あとは応用問題ですよね。
仰るとおり、本質はシンプルなのです。

Posted by: 閑人 | 2008.11.03 16:02

IT全般統制… そんなもんIT企業でもない金融機関でもないフツーの会社が作れるはずがありません(笑)。

それがいいことであろうとなかろうと、監査法人側にチェックリストを用意してもらわないと
企業側が自分自身でゼロから作れるはずがありませんし
監査法人側もそういうお膳立てをしておかないと後で監査が出来るはずもありません。
理念はわかりますが。

これぐらいは外しておくべきでしたねえ、金融庁も。

Posted by: 機野 | 2008.11.05 01:14

閑人さん、機野さん、コメントありがとうございます。

> IT全般統制… そんなもんIT企業でもない金融機関でもないフツーの会社が作れるはずがありません(笑)。

そんなことをいうのであれば、財務報告に係る内部統制だって同じかも(笑)

Posted by: 丸山満彦 | 2008.11.05 23:06

>そんなことをいうのであれば、財務報告に係る内部統制だって同じかも

担当者がいくらがんばって考えても、上のレベルと「監査法人はどう考えるのだ」なんてやり取りが続くと、担当としてはやる気をなくします。

上場企業 = 超一流企業、というわけではないのですから、理想を高く掲げるのも結構なことではありますが、もっと現実的なレベルで制度を考えて欲しかったという感はあります。

抽象的思考の弱い多くの日本企業にとっては、「財務報告に係る内部統制」といっても、正直ピンと来ない人ばかりというのが現実です。こんな状態では、具体的なチェックリストでもないと実務対応ができません。公式の導出過程を理解することよりも、応用は利きませんが公式を丸暗記する方が楽だ、ということと本質は一緒なのでしょう。

事務系専門職が優遇されるという土壌があれば、内部統制報告制度もスムーズに浸透したかもしれませんね。

Posted by: FN | 2008.11.06 01:33

FNさん、コメントありがとうございます。

正直言って、監査法人がOKっていってくれればいいでしょう。。。と思いながら制度対応をしている人がほとんどだと思うんですね。。。

って考えると、本当にこの制度ってなんなんだろうと思いますよね。。。

制度自体の問題よりも、成熟度の問題なのかなぁ・・・

Posted by: 丸山満彦 | 2008.11.06 22:08

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference IT全般統制の統制目標 (同業他社からもほめられました(笑)):

« 国民が自律できなければ法律で規律するしかないのかなぁ・・・ | Main | 内部統制報告制度では支配権のない持分法適用会社であっても「内部」統制の一部として評価しなければならないのに、100%子会社に情報の取り扱いを委託する場合は「外部」委託といわれる »