« 2006年11月 | メイン | 2007年01月 »
2006年12月27日
台湾地震
台湾:地震で国際電話やインターネット通信に障害 -今日の話題:MSN毎日インタラクティブ
復旧には2~3週間かかる見通しという。
想像以上にひどいことになりそうですね。私も昨日から中国とやり取りしようにも、応答スピードが1/5ぐらいになっています。
インターネット アメリカ経由で中国につながっている状態で使い物になりません。グローバル携帯にも障害が起きているし。
地震で中継器が壊れることは想定できても、ケーブル切断までとはね。こんな大きなインフラ障害、はじめてかな。
投稿者 masa : 23:30 | コメント (0) | トラックバック
2006年12月21日
ITCO for SOX 第2版 斜読10
補足資料M:重要な会計アプリの場合の職務分離
第2版草稿の段階でなかった資料ですが、リスク管理と職務分離のトレードオフを決めていく上でのツール/テンプレートの考え方を紹介しています。レガシーシステム用と統合用の2例上げられています。
両立しない職務権限を認識しないと、リスク管理もできないし、人に委ねれば良いのかIT化するのが良いのか判断すべきビジネスプロセスの機能要素が見えてこないというわけです。
何処かの大手証券会社みたいに個人が悪さしましてん、課徴金でご免なさいじゃすまなくて経営責任を取らざるを得ないところまで追い込まれるのが外部環境ということですね。
職責権限規定なんてのはあるのが当たり前だけど、ビジネスプロセスがどんどん変わっていく時代にモデル化しておかないとリスクが知らずに出てくるということですかね。大変ですね。
投稿者 masa : 14:23 | コメント (0) | トラックバック
2006年12月14日
ITCO for SOX 第2版 斜読9
補足資料J:スプレッドシートの場合のアプローチ
財務報告に係るスプレッドシートも統制の対象になるわけですが、判断するガイドラインとして次の3ステップで行う方法が説明されています。
ステップ1:表計算リストの作成
ステップ2:リスク評価
ステップ3:表計算管理の実装と評価
ステップ1で把握されたスプレッドシートに対して、影響度と発生可能性について3段階方式でポイント付けます。この場合の評価要素としては、例が上げられていますが工夫が必要ですね。もう少しビジネスの効率性のファクターを入れた方が、トレードオフの方針を立て易いかもしれません。リスクレベルが中、高になればそれなりに管理していかないとならないのでね。
リスク評価で、影響度*発生可能性のポイントが小さければ、統制の対象になりませんが、中であれば下記のa~c、高であれば、a~g を導入して評価しないと駄目ということです。
a アクセス管理
b 変更管理
c 文書化
d テスト
e 入力管理
f データのセキュリティと完全性
g ロジックチェック
スプレッドシートやその他のオフィス製品は、自動化されているというより、
自動化とマニュアルが混在しているハイブリッドなものが多いので、人間の
やる気、効率性、有効性といった多くの不明な要素の中でトレードオフ指針を
決めないと、管理ばかりじゃ能がないですよね。
投稿者 masa : 23:15 | コメント (0) | トラックバック
2006年12月06日
ITCO for SOX 第2版 斜読8
補足資料Dのアプリケーション統制
アプリケーション統制の重要性、定義、ビジネスケース(例あり)、
ベンチマーク(PCAOB例示)、自動化されたアプリケーション統制の例。
財務報告の要点として3点の定義が加えられていて、169の統制の目標例が上げられています。
会社の規模や複雑さなどで、ドキュメント化やテストのコストは大きく変化しますから、手作業、自動化、これらの組合わせ(ハイブリッド)を定義していて、どのようにコントロールを決めていくかの参考になります。
自動化する統制は、見えるようにするためにもドキュメント化するコストは増えますが、自動化することでの長所についても書かれていますから、会社の規模によって基本線、ベンチマークを作る必要がありますね。
日常反復継続している取引の評価で、90%の信頼度を得るために25件のサンプルを確認するなんてことより、IT全般統制で有効性を証明していれば、1サンプルで監査人OKの方が健康に良いですよね。
財務報告に係る業務プロセスのIT化対応において、IT化を見えるようにするためのコストは増えますが、テスト工数を大幅に減らす効果が大きいので、身の丈にあったベンチマーク指標を持てるかどうかです。IT対応の見える化は、初年度だけ大きいですが、例年変更管理だけでしょうからIT対応しない場合のコストと比較したら、抗いがたい流れですね。