« ISACA/ITGI ITGI Enables IS0/IEC 38500:2008 Adoptionの日本語訳 | Main | 景気が悪い時こそリスクマネジメントの巧拙が企業の発展に大きく影響する »

2009.06.23

コンピュータ全般統制に重要な欠陥がある場合

 こんにちは、丸山満彦です。コンピュータ全般統制に重要な欠陥があるという内部統制報告書がでましたね。。。

 
 株式会社ダイオーズの内部統制報告書です。
 会計データの一部が消失したことが理由のようです。。。

=====
3【評価結果に関する事項】
 下記の財務報告に係る内部統制の不備は、財務報告に重要な影響を及ぼす可能性が高く、重要な欠陥に該当すると判断した。したがって、平成21年3月31日時点において、当社の財務報告に係る内部統制は有効でないと判断した。

 当社では、システムの保守及び運用の管理を適正に行うため、「運用・保守管理規程」を定めて遵守することが義務付けられているが、コンピュータデータの保全手続きにおいて、当該規程の運用が不十分であったため、会計データの一部が消失し、当期の財務諸表作成にあたって消失した会計データの修復作業を行うこととなった。
 事業年度の末日までに是正されなかった理由は、上記会計データのバックアップデータ復元作業のテスト実施が十分でなく、バックアップデータ消失のリスクを予見できなかったためである。

4【付記事項】
 評価結果に関する事項に記載された重要な欠陥を是正するために、事業年度の末日後、管理本部に取締役管理本部長直轄のプロジェクトチームを設置した。同プロジェクトチーム主導で、ハードウエアの修繕を実施するとともに、バックアップ及びリストアテストの実施に係る新たな業務フローを整備及び運用し、内部統制報告書提出日までに当該是正後の内部統制の整備及び運用状況の評価を行った。評価の結果、内部統制報告書提出日において、コンピュータデータの保全手続きに係る内部統制は有効であると判断した。 
====

 付記事項にある通り、内部統制報告書提出日現在は内部統制は有効と判断しているようです。

 なるほど。。。


 ちなみに監査報告書は、

=====
(前略)
当監査法人は、我が国において一般に公正妥当と認められる財務報告に係る内部統制の監査の基準に準拠して内部統制監査を行った。財務報告に係る内部統制の監査の基準は、当監査法人に内部統制報告書に重要な虚偽の表示がないかどうかの合理的な保証を得ることを求めている。内部統制監査は、試査を基礎として行われ、財務報告に係る内部統制の評価範囲、評価手続及び評価結果についての、経営者が行った記載を含め全体としての内部統制報告書の表示を検討することを含んでいる。当監査法人は、内部統制監査の結果として意見表明のための合理的な基礎を得たと判断している。

 当監査法人は、株式会社ダイオーズが平成21年3月31日現在の財務報告に係る内部統制は有効であると表示した上記の内部統制報告書が、我が国において一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠して、財務報告に係る内部統制の評価について、すべての重要な点において適正に表示しているものと認める。
======

 となっていますね。。。

|

« ISACA/ITGI ITGI Enables IS0/IEC 38500:2008 Adoptionの日本語訳 | Main | 景気が悪い時こそリスクマネジメントの巧拙が企業の発展に大きく影響する »

Comments

 なかなか評価が難しい指摘事項ですね。

 「会計システムのバックアップが上手く取れておらず、いざ復旧しようとしたら上手くいかずにデータが失われたので、『重要な欠陥』と評価した。」ということだと思いますが、たまたまリスクが顕在化したからこのような評価になったのでしょうか?

 私の経験ではBCPでデータ消失リスクを勘案して「バックアップデータ復元作業のテスト実施」を十分に行えている企業は少ない、と感じています。でも、たまたま、「バックアップを利用するような状況にならなかった」「バックアップを利用する事態になったが結果上手くリストアできた」場合には「重要な欠陥」とはならないのでしょうか?

 また、BCP等々検討して、バックアップもリストアもしていたがやはり本番で不測の事態が発生したデータが失われた場合も「重要な欠陥」になるのでしょうか?

 何となく「たまたま顕在化してしまって運が悪いなぁ」と思ってしまうのは、きっと内部統制監査の本質を理解していないからですね。


 監査報告書は、おそらく「間違い」ではないかと思いますが、監査法人の内部統制はどうなっているのでしょう?きっと厳密な審理体制が整っているかと思いますが。 :-P

Posted by: Mulligan | 2009.06.23 21:13

Mulliganさん、コメントありがとうございます。訂正有価証券報告書がでていますよね。。。
=====
(訂正前)

 当監査法人は、株式会社ダイオーズが平成21年3月31日現在の財務報告に係る内部統制は有効であると表示した上記の内部統制報告書が、我が国において一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠して、財務報告に係る内部統制の評価について、すべての重要な点において適正に表示しているものと認める。

(訂正後)

 当監査法人は、株式会社ダイオーズが平成21年3月31日現在の財務報告に係る内部統制は重要な欠陥があるため有効でないと表示した上記の内部統制報告書が、我が国において一般に公正妥当と認められる財務報告に係る内部統制の評価の基準に準拠して、財務報告に係る内部統制の評価について、すべての重要な点において適正に表示しているものと認める。
=====

ところで、
=====
BCP等々検討して、バックアップもリストアもしていたがやはり本番で不測の事態が発生したデータが失われた場合も「重要な欠陥」になるのでしょうか?
=====
 重要な表示の誤りがある可能性が高いですかね。。。どうですかね。。。

Posted by: 丸山満彦 | 2009.06.25 21:47

Post a comment



(Not displayed with comment.)




TrackBack


Listed below are links to weblogs that reference コンピュータ全般統制に重要な欠陥がある場合:

» [法律]内部統制報告制度の「重要な欠陥」 [漉餡大福日記]
連日、開示が増えている内部統制報告書および内部統制監査報告書について、気になった点を考察する。   ○株式会社大木 同社の内部統制報告書より 3【評価結果に関する事項】 当社は財務報告に係る内部統制の評価について、重要な評価手続が実施できませんでした。したが... [Read More]

Tracked on 2009.06.23 21:56

« ISACA/ITGI ITGI Enables IS0/IEC 38500:2008 Adoptionの日本語訳 | Main | 景気が悪い時こそリスクマネジメントの巧拙が企業の発展に大きく影響する »