ITIL Managerの視点から:「内部統制報告制度に関するの誤解」を誤解せぬよう読んでみた


ITIL Managerの視点から:「内部統制報告制度に関するの誤解」を誤解せぬよう読んでみた
ITIL Managerの視点から、内部統制報告制度に関するの誤解を解読する。

誤解その一:米国SOX法と同じか

評価:

一方、内部統制の不備の区分を2つにしたということは、ある程度評価できる。乱暴に言えば、不備の度合いを「ゴメンなさいで済むか、済まないか」の2種類にした、ということである。「重要な欠陥」そのものは、「財務報告に重要な影響を及ぼす可能性のある内部統制の不備をいう」と定義されている。ただし、何をもって「財務報告に重要な影響を及ぼす」とみなすかがあいまいだ。もっともここは、あえてあいまいさを残したのだな、とも思う。脱税が見つかった場合だって、そのほとんどは「申告漏れでした、ごめんなさい」と追徴課税で済ませてしまっているのだから。内部統制の不備が見つかっても、そのほとんどは「ごめんなさい、なんとかします」で済ませてしまえるのではないだろうか。ただし、社会的な信用を失うことは間違いないだろうが……。

誤解その二:特別な文書化が必要か

評価:

そもそもプロセスとは、必ず活動の手順に対するインプットがあって、活動の成果としてのアウトプットがある。インプットもアウトプットも、(たとえ磁気媒体に記録されている形式だとしても)それなりにまとまっていないと活動できないはずである。

誤解その三:すべての業務に内部統制が必要か

評価:

全社的な内部統制を行うことを目的として「業務」を捕らえた場合、その重要度は当然売上だけでは判別できない。例えばある会社は売上の8割を店舗による小売業務が占め、残る2割をWebショッピングが占めているとする。顧客の個人情報(住所や名前、銀行口座とかクレジットカードの番号とか)をより積極的に収集するのは、売上げの2割にしかならないWebショッピング業務であろう。売上の2割にしかならないので、このWebショッピングサイトの内部統制をおろそかにしていい、とは言えない。

誤解その四:中小企業でも大がかりな対応が必要か

評価:

「マンパワーが不足している場合」、つまり内部統制なんて構っていられないような場合に、「経営者や他の部署の者が適切にモニタリング」できるわけがない。ITILでも、人手が不足しているような場合に、構成管理マネージャと変更管理マネージャ、リリース管理マネージャを1人が兼務する可能性を示唆しているが、それはあくまでも可能性であって望ましい状態ではない。また、実行責任者とモニタリング実施者が同一人物であるという事態が起きてしまい、内部監査が形骸化してしまう可能性だってあり得る。


相関記事:




IT 資格 1 2 3
該当ウェブサイトはCisco Systems, Inc.、Microsoft、Oracle、CompTIA、Linus Torvolds,或いは他の認証機関が自社出資で開発するものではないし、他社に依頼して開発する物ではない。勿論、それらの集団の傘下に入るものではない。それに各集団は各自の商標だけ登記している。 例えば: Cisco Systems, IncはCisco™とCiscoシステム登記商標。Windows™のほうはMicrosoft登記商標。CompTIAはA+™、Network+™とServer+™と言う登記商標です。即ち:ここでリストした登記商標が各自の所有者に属するだけです。
COPYRIGHT © 2018 CERTCHOICE.NET ALL RIGHTS RESERVED