質問
「内部統制報告制度に関するQ&A」なる文書が
金融庁から10/1付けで発布されていましたので追記します。
http://www.fsa.go.jp/common/law/kaiji/13a.pdf
およそチェックシートとはかけ離れた代物ですが、
IT統制に関して重要な記述もいくつかありました。
(IT全般統制の不備が直ちに重要な欠陥とは評価されない、など)
内部統制とITの関係性については、
非常に多くのメディアで取り上げられているので、
省きますが、基本は「何が起こっているかを分かっている、説明できること」じゃないでしょうか。
当たり前のことを言ってるのだと思います。別に罰則がないわけですから。
robert さんの言われるように「何が起こっているかを分かっている、説明できること」で 止めておけばシンプルに収まるのですが。
そこに「統制」ということを持ち込んで「不正ができないようにする」のを目的としてセキュリティみたいなのを絡ませるので 「わざわざ回りくどくしている」のだと思います。
これらの事を決めた人は「性悪説だからここまでガードしなければならない」とか言ってますが 社員が本気で悪知恵を出したら不正なんて防げないです。
伝票操作で辻褄合わせてれば粉飾決算だってできるでしょう。(監査だって一部しかやりませんから)
質問
先日、IT全般統制を担当している同僚から、IT全般統制を行うにあたって
結局何をすればいいのか?みたいなことを世間話っぽくですが相談されました。
以前、噂で内部統制のチェックシートに相当するものが公式に
発布されるようなことを聞いたことがあるのですが、どうなったかご存知の方
いらっしゃいますか?
または、そういった情報が営利目的でなく公開されているところをご存知でしたら情報提供いただきたいのです。
そもそも、チェックシートがないと、企業もどこまでやればいいのか迷走しますし、
監査する側だって困るのではないのでしょうか?
いろんな企業規模や事業形態があって、一概にチェックシート的なものは
提示できないという理屈はわからなくもないですが、本当に粉飾決算のような
事件を未然に防ぎたいのならばもっともっと分かりやすくて、取り組みやすいように
国レベルで工夫すべきだと思うのは私だけでしょうか。
せめて業種別、規模別で数パターンの内部統制タスク、管理文書のモデルケースなどが提示されれば、
それが雛形になるので物事が進め易くなり、健全な企業が増えることに繋がると思うのです。
実際、いろんな関連書籍が売られていて、飛ぶように売れているのではないかと思います。
でも、そんな書籍に手を出すまでも無く、国からの情報だけで経営者が
取り組めるような状況がないといけないのではないかと思います。
内部統制の中身ってシンプルなはずなのに、わざわざ回りくどくしている意味がわかりません。
出版社やコンサルを儲けさせてるだけなんじゃ?とか、つい勘ぐってしまいます。