内部統制整備プロジェクトも佳境に入ってきました。
ウォークスルーを行い、キー統制を決めました。
キー統制について、それが有効に働いているかどうかを確かめるために、運用テストを行います。
運用テストは、キー統制で行われた証拠資料を収集し、不備がないかを確かめます。
キー統制が行われる頻度によって、集めるサンプル数が異なります。
統計的に、年度で1度行われるものは、サンプル数1、月次で複数回行われるものは、サンプル数25~60というのが一般的なようです。
RSSコンテンツ配信サイトの立ち上げも大詰めを迎えています。が、なかなか時間が取れなくて、遅々として進んでいません。
現在、専用サーバーを物色中なのですが、費用との兼ね合いで、決めかねています。
今回、調べてみて分かったのですが、ホスティングサービスの価格差が日米であまりにも大きすぎます。Linuxサーバーはそうではないのですが、Windowsサーバーは約8倍から10倍の価格差です。
Windows Server 2003 + MS SQLの環境で、共用サーバーの場合は、月額$12から$50前後。それが日本では、2万円から5万円...専用サーバーの場合は、大体$200から$300。日本では7万円から10万円程度。
過去に経験をしたことがないプロジェクトを実施しています。内部統制プロジェクトをどのように実施したかという事例は、ほとんど外部に公表されていません。
企業としては当然でしょう。しかし、事例を知れば、どのようなことを考慮してプロジェクトをマネジメントするか、その方法がおぼろげながら分かります。
ウォークスルー、運用テストと連続して行い、統制の有効性を評価するわけですが、実施してみるといろいろな問題が出てきます。いわば、ITプロジェクトのテストフェーズです。ただし、単体テストレベルですが。
ここで、バグを洗い出すわけです。文書に書かれてあることが実施されていない、内容に漏れが発見される、例外処理が発見される、実施している統制が処理量が多く、統制の意味合いを持っていない...など、非常に多くのことが発見されます。
スタートレックシリーズが最終回を迎えてしまいました。もっともアメリカでは、昨年終了していますが。
宇宙大戦争、ネクストジェネレーション(新スタートレック)、ディープスペースナイン、ボイジャー、エンタープライズと40年も続いたシリーズが終わり、今後、次期シリーズを開始する予定がないそうです。テレビシリーズだけで、総数703話になります。
ウォークスルーを行い、その結果を評価して、職務記述書、業務フロー、リスクコントロールマトリックスの修正が終われば、次は、運用テストに入ります。
ウォークスルーは、サンプルを1つ取り上げ、そのフローを最初から最後まで追うことによって、作成した文書が正確であることを証明するために行いました。
運用テストは、設計された統制が有効であるかどうかを評価するために行います。運用テスト自体を計画するには、次のステップで行います。
ある所で、読者の方とお会いし、いろいろ話し合っている中で、なぜ内部統制の話題の中で、IT統制について書かないのかと質問を受けました。
端的に言えば、このメルマガの読者の方の大半が、IT関係に従事している方だからです。私より、はるかに専門性が高い方が多くいらっしゃいます。また、今私が支援しているプロジェクトでは、プロジェクト全体支援のほかに、業務統制の方も支援しています。私の頭の中には、業務統制のことが渦巻いています。
ということで、IT統制については、機会を見て書くつもりですが、今は業務統制を中心にして行きます。日本版SOX法に対応するために何をやらなければならないか、そのやり方について書いていますが、今後は、内部統制整備をプロジェクトマネジメントの面から、掘り下げて行きたいと思っています。
来週の月曜日は、911ですね。あの911からちょうど5年が経ちました。早いものです。
911に関連して、面白い記事を見つけました。
CNN.co.jpによると、
(AP)「世界貿易センター(WTC)ビルは内部に仕掛けられた爆発物で崩壊した」「米政府による自作自演だったのではないか」――5年前の米同時多発テロをめぐり、米国内で「陰謀説」が再燃の兆しを示している。一部の学者らがグループを結成し、今年6月には「真相究明会議」を開催するなど、活発な運動を展開して議論を呼んでいる。
同時テロでは「WTCビルがハイジャック機の激突による火災で崩壊した」というのが、米政府の公式見解。これに疑問を投げかけているのが、「9-11の真実を求める学者たち(S911T)」と名乗るグループだ。ウエブサイトに掲載されている説によれば、WTCは「計画的に爆破」され、米政府は「政治的目的のために」これを許可したか、さらには「画策した可能性さえある」という。
ということらしいです。真偽はともかく...いろいろ出てきます。
さて、内部統制に関して、リスクとコントロールポイントの洗い出しが終わったところです。
ここで不備が見つかれば、改善しなければなりませんが、その前に、実際には、業務フローチャートと業務記述書の内容が正しいかどうかを検証しなければなりません。
実際に、業務がそのとおり実施されているかどうかを見極めることです。これをウォークスルー(Walk Through)と言います。
業務遂行時に作成された帳票、書類、システムを使用していれば、その画面コピーなどを集めます。また、承認資料なども必要です。さらに、現場で目視による観察も必要になるかもしれません。
また、必要工数は、1プロセス当りあまり多大になることはないのですが、実施期間が長くなります。その業務がタイムリーに行われているかどうかでスケジュールを立てなければなりません。
日経コンピュータ 2006.08.21号に「J-SOX実施基準、「具体例なし」の公算大 200ページの原案を廃棄、草案公開は早くて10月」という記事が載っていました。
おいおい、これはないだろう!と思ってしまいます。
記事によると、「当初はかなり詳細な基準を示す予定だった。事実、同部会が作成した実施基準の原案はA4版で200ページを超え、約100項目をQ&A形式で記述していたという。 ところが同部会はこの原案を廃棄し、新たに作り直すことを決めた。」とあります。
その理由として、「八田進二教授は、その経緯を「当初の原案は「評価方法」を重視していた。だが、企業が求めているのは「枠組み」だと分かり、作り直すことに決めた」と説明する。原案を複数の担当者が記述したため、記述レベルの統一が困難だったのもその理由の一つだった。」となっています。
今回は、コントロールポイントとリスクを洗い出した結果を元に、不備があれば、その改善方法について書こうと思っていたのですが、それを次週以降に回し、この記事に対する考えを書きます。(この記事が事実であるという前提条件です。)
