質問

2007年12月15日 02時54分
  • IT統制の公式なチェックシート(的なもの)って結局どうなったんでしょう?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

先日、IT全般統制を担当している同僚から、IT全般統制を行うにあたって
結局何をすればいいのか?みたいなことを世間話っぽくですが相談されました。

以前、噂で内部統制のチェックシートに相当するものが公式に
発布されるようなことを聞いたことがあるのですが、どうなったかご存知の方
いらっしゃいますか?
または、そういった情報が営利目的でなく公開されているところをご存知でしたら情報提供いただきたいのです。

そもそも、チェックシートがないと、企業もどこまでやればいいのか迷走しますし、
監査する側だって困るのではないのでしょうか?

いろんな企業規模や事業形態があって、一概にチェックシート的なものは
提示できないという理屈はわからなくもないですが、本当に粉飾決算のような
事件を未然に防ぎたいのならばもっともっと分かりやすくて、取り組みやすいように
国レベルで工夫すべきだと思うのは私だけでしょうか。

せめて業種別、規模別で数パターンの内部統制タスク、管理文書のモデルケースなどが提示されれば、
それが雛形になるので物事が進め易くなり、健全な企業が増えることに繋がると思うのです。

実際、いろんな関連書籍が売られていて、飛ぶように売れているのではないかと思います。
でも、そんな書籍に手を出すまでも無く、国からの情報だけで経営者が
取り組めるような状況がないといけないのではないかと思います。
内部統制の中身ってシンプルなはずなのに、わざわざ回りくどくしている意味がわかりません。

出版社やコンサルを儲けさせてるだけなんじゃ?とか、つい勘ぐってしまいます。

4件の回答があります

回答

「内部統制報告制度に関するQ&A」なる文書が
金融庁から10/1付けで発布されていましたので追記します。

http://www.fsa.go.jp/common/law/kaiji/13a.pdf

およそチェックシートとはかけ離れた代物ですが、
IT統制に関して重要な記述もいくつかありました。
(IT全般統制の不備が直ちに重要な欠陥とは評価されない、など)

2007年12月17日 19時28分

回答

内部統制とITの関係性については、
非常に多くのメディアで取り上げられているので、
省きますが、基本は「何が起こっているかを分かっている、説明できること」じゃないでしょうか。
当たり前のことを言ってるのだと思います。別に罰則がないわけですから。

2007年12月18日 11時05分

回答

robert さんの言われるように「何が起こっているかを分かっている、説明できること」で 止めておけばシンプルに収まるのですが。
そこに「統制」ということを持ち込んで「不正ができないようにする」のを目的としてセキュリティみたいなのを絡ませるので 「わざわざ回りくどくしている」のだと思います。
これらの事を決めた人は「性悪説だからここまでガードしなければならない」とか言ってますが 社員が本気で悪知恵を出したら不正なんて防げないです。
伝票操作で辻褄合わせてれば粉飾決算だってできるでしょう。(監査だって一部しかやりませんから)

2007年12月18日 15時28分

回答

添付したファイルが、経産省から出ています。

この「まえがき」に、『財務報告に係る内部統制で求められている「IT への対応」を行っていくためには、「システム管理基準等」と「IT への対応」との間の具体的な対応関係を明らかにしていくことが重要であると考えられる。』とあります。

求めている回答かどうかは分かりませんが、私はこれを元に作業を進めています。

あなたもコメントしましょう!