Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

J-SOX対応で業務のたな卸しをしたところたくさんの例外的な取引がみつかるわみつかるわ…どうしよう?

2009/03/05 09:00

【まるプラクティス】mal-practice。「まる」は、マルウェアなどの「まる(mal)」で、ラテン語で「悪い」「不完全な」といった意味を持ちます。ベストプラクティスの反対語にあたる「まるプラクティス」。失敗事例を検証・考察することで改善につなげます。

Question

Question

 J-SOX対応で業務のたな卸しをしたところ、顧客に合わせて細かい業務フローの違いがたくさんあることが明らかになりました。業務記述書もそれぞれの違いによって変えていかないといけないのでしょうか?

story

Answer

 そういうわけではありません。キーコントロールが同じであれば細かい違いに応じて業務記述書やフローチャートを細かく書き分ける必要はありません。つまり、業務記述書やフローチャートというのは各プロセスを細かく網羅的に書く必要はないということです。

 そもそも、業務記述書やフローチャートをなぜ書く必要があるのでしょうか? それはキーコントロールを識別し、コントロールの整備状況を評価するために必要となるわけです。業務記述書やフローチャートを書くことが目的ではありませんね。

 初年度は、業務記述書やフローチャートを細かく書きすぎた会社が多いように思います。これでは業務プロセスにちょっとした変更がある度に業務記述書やフローチャートを書き換える必要があるかもしれません。キーコントロールは変わらないにもかかわらずです。

 2年以降は、書きすぎた業務記述書やフローチャートを簡素化することが内部統制評価業務の効率性を上げるためには重要となってくるかもしれませんね。皆さんも業務記述書やフローチャートが書きすぎになっていないか確かめてみてはいかがでしょうか?



著者プロフィール

  • 丸山 満彦(マルヤマ ミツヒコ)

    デロイトトーマツリスクサービス株式会社 取締役執行役員 1992年、監査法人トーマツ入社。1998年から2000年にかけてアメリカ合衆国のDeloitte&Touche LLPデトロイト事務所に勤務。大手自動車製造業グループ他、米国企業のシステム監査を実施。帰国後、リスクマネジメント、コン...

  • 倉田 タカシ(クラタ タカシ)

    「ネタもコードも書く絵描き」として、イラストレーション、マンガ、文筆業、ウェブ制作、Adobe Illustratorの自動処理スクリプト作成など、多方面で活動。 イラストの他に読み札も手がけた「セキュリティいろはかるた」はSEショップより発売中。 河出文庫「NOVA2-書き下ろし日本SFコレク...

バックナンバー

連載:コンプライアンス“まる”プラクティス
All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5