文書化にあたってはリスク・統制の考え方の修得が必須
実際に文書化に係る支援をするにあたっては、単に会計プロセスを知っているというだけではダメで、第3回でお伝えした財務報告に係るアサーションや、アサーションを脅かすリスク、そしてリスクを軽減する統制に関する深い理解が必要となります。
例えば、リスクを簡単に説明すると、不正・ミスが発生しうるポイント、なのですが、これだけ知っていれば仕事ができるわけではありません。各業務プロセスに潜む固有リスク※を意識し、適切な統制を設計していく必要があるのです。
※固有リスクとは:関連する内部統制が存在していないとの仮定の上で、財務諸表に重要な虚偽の表示がなされる可能性をいい、会社内外の環境の影響を受けたり、特定の取引や本来有する特性から生じるリスクです。
で、勉強法ですが、キチンと勉強したいという方には、以下の本がお勧めです。
「監査実務指針ハンドブック〈平成18年版〉」
日本公認会計士協会 中央経済社 (2005/09)
ただ、この手の情報は体系的に頭に入れる部分も必要ですが、必要に応じて参照する部分が大半なので、JICPA(日本の監査法人の団体です)が出している監査基準に関する各種文書を必要に応じて探すという感じでも良いと思います。
また、英語の文章を苦労せず読める方は、PCAOB(公開企業会計監視委員会:会計事務所の監査業務の品質を監視する機関)が出している各種文書にも是非目を通してください。ここまでいってしまうとかなり専門的ですが、所謂コンサルタントであれば、おそらく目を通すはずです。
「IT統制はシステム監査に酷似」
IT統制に関しての本はいくつか出版されていますが、時流に乗ったような安易な本を買うより、システム監査に関する本を買うことをお勧めします。
というのも、システム監査に関するスキルを身につけておけば、IT統制になんら問題なく対応できますし、スキルの幅も広がります。お勧めの本は以下です。
「情報システム監査実践マニュアル 」
NPO日本システム監査人協会 工業調査会; 第2版版 (2005/12)
また、上で挙げたPCAOBには、IT統制に関する文書も多々ありますので、英語が苦にならない方は是非チャレンジしてみてください。
最後に
今回、連載企画の第一回ということで、日本版SOX法を取り上げ、ITエンジニアの皆さんへのインパクトを意識し、少しでもスキルアップに役立つ情報を書いてきたつもりです。この日本版SOX法というのは、一過性のものと捉えられがちですが、企業の情報システムを構築していく皆さんにとっては永続的なテーマです。これを機会に是非勉強してみてください。
|
