質問

2008年10月11日 11時03分
  • こんなコントロールって片手落ちと思う

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

IT業務処理統制のところなのですが監査人に「どういう事か例が有りませんか」と尋ねたら、

【リスク例1】販売システムから会計システムに、売上データを自動連携する際、科目を自動的に付与しているが、システムの不備もしくは設定誤りなどにより、誤った勘定科目が付与される。
【コントロール例1】会計システムでは、販売管理システムから売上データを受け取った際、取引種別に基づいて、勘定科目マスタから勘定科目コードを自動設定する。勘定科目マスタに登録されていない取引の場合は、エラーとなり、会計システムから、「エラーレポート」が経理部にて出力される。

はぁ? なんだこれ 答えになっていないね 「「システムの不備もしくは設定誤りなど」で(存在しない勘定科目ではなくって)誤った勘定科目になったらエラーレポートは出ないじゃないですか」って指摘したら「はぁそうですか?」って監査人が答えました。
監査人もそうですがこんな例題を作った奴のレベルを疑ってしまいましたね。

みなさんもこういう経験ありませんか。

4件の回答があります

回答

私もそんな経験があります!
具体的なところはちょっと覚えていないのですが、
以前、監査法人の提示してきたIT全般統制の「一般的な統制手続」に関して
実際問題としてどういうことを言っているのかと問い合わせたところ、
「COBITがそうなっていますので」
と、その担当者が答えたので、あきれたことがあります。
「あなたの考えは?」とくってかかろうかとも思ったのですが、時間の無駄だと思って止まりました。
まあ、そんな人ばかりではないと思いたいですが・・・。

「はぁそうですか?」
って、字面だけみるとホントひどい担当者ですね。

このリスク例だと、勘定科目が引き当てられなかった取引データのエラーレポートはもちろんですが、付け加えるとすれば、
「取引種別と勘定科目マスタとの紐付けの正当性のチェックをマスタ変更の都度実施する」
とかいったところでしょうかね。

2008年10月12日 00時59分

回答

Webを見ていたら まったく同じものがありました。
ここから「例」を出してきたのかもしれません。

しかし(私の不勉強のせいなのだろうけど)IT業務処理統制(に限りませんが)のところの進め方って...
 泥棒を2人捕まえたので自白させる。
 一人目は10件やって10件自白した。なので懲役10年。
 二人目は100件やったが1件だけ自白した。なので懲役1年。
こんな感じがします。

2008年10月13日 10時04分

回答

「パスワード管理」のことなのですが
「管理者によってパスワードが変更される仕組み」なので「管理者がなりすましをするかもしれない」と言われてしまいました。

うーん、これはどういう仕組みにしたらよいのだろう。
(このシステムは ユーザが自分でパスワードを変える機能 はありません)

管理者はユーザのパスワードを設定したら”忘却剤”を飲んで記憶を消せばよいのだろうか。
全世界の全ユーザにマスターコンソールに来てもらって自分のパスワードを入力してもらうのがいいかな。
管理者に24時間の監視者を付けて、なりすましをしないように見張ればよいだろうか。
どうしよう...

2008年11月13日 20時47分

回答

先日はIT監査員の親玉が来たのでいろいろ話していたのですが
私:「データの書き換えについては悪意と高度な知識を持ったものが行えば防ぐのは不可能ですねえ」と言ったら
親玉:「粉飾決算を防ぐにはデータの書き換えは絶対に禁止しなければなりません」と言うので
私:「粉飾決算は経営者の指示で行うものでしょう。 正式なニセ伝票!を入れてきたりして操作するのでIT統制では押さえきれませんよ。」
親玉:「それが出来ないようではITの価値はありません」
私:「では教えて頂きたいのですが、正式な承認者の承認のある伝票をニセ物だと どうやったら見破れるのですか?」
親玉:「それは考えていただかないといけないですね」
私:「私にはその方法は判りません」
親玉:「では『そういう不正がない』と証明していただくしかないですね」
私:「『無い』ということを証明することはできません」
親玉:「なんですって それでは『会計報告が適正』とは言えなくなりますね」
私:「なんと判断されようが 『無い』ということを証明することは不可能です。『有る』と言う証明をするにはその事例を1つ出せばいいのですが、『無い』事の証明は無限の可能性を全部調べなければならないので証明が不可能なのですよ。 証明とはそういうものです」
親玉:「なんですって とにかくデータの改竄は防がねばなりません」
私:「データの改竄ではなくって粉飾決算の話をしているのですよ」
..........疲れた...

2008年11月15日 19時50分

あなたもコメントしましょう!