リスクベースで進めるIT内部統制の実務
リスクベースで進めるIT内部統制の実務
最高の教科書
内部統制について聞きかじった知識をひけらかすだけの「煽り本」が多い中、久々に実務に裏打ちされた本物に出合った印象です。
通常、この手の本には「○○に関連するアイテム、プロセスをすべてリストアップして棚卸表を作りましょう」などといった無責任な記述が多く、言葉通りに実行すれば膨大な労力を空費する無益なアドバイスに満ちています。入試で喩えるなら、不合格のリスクを恐れて出題可能性の低い範囲まで過剰な対策を推奨する進学塾のようなものです。
しかし、この本の主張する「リスクベース」の内部統制は全く違います。立法趣旨である財務報告目的に着目し、本当に対応すべきリスクを見極めるという考え方ですが、考えてみれば当たり前のことで非常に納得した次第です。また、全般統制と業務処理統制の関係という類書では曖昧にされている部分を「よくぞ書いてくれた」というぐらい明快に解説してくれています。勉強すればするほど混乱していた私に一筋の光を与えてくれたことに大変感謝しています。
おまけに本書に比してゴミに等しい「煽り本」も、本書と読み比べることによって、「こうすれば必ず失敗する貴重な先例(反面教師)」としてリサイクルできます。だから、私のように山のようなゴミに多くのお金を投資してしまった人にもお勧めです。
非常に実践的な内容の本
J-SOX対応の実務について、監査法人の立場から解説した非常に実践的な内容の本であり、評価における照合の方向性や母集団の適格性など、これまでの内部統制解説本では語られていないことが記載されている。「IT内部統制」というタイトルが付いているが、全8章中の5章までは、業務処理統制に関して述べられており、残り3章がIT全般統制についてとなっている。5章まででも十分な内容であり、J-SOXのPMを担当している方にはお勧めである。教科書的なものではないので、実務経験が無いと厳しいかもしれない。「はじめに」の部分に、本書の編集スタンスが述べられているので、確認の意味で読むことをお勧めする。本書中に、リスクベースとコントロールベースでのアプローチの議論があるが、コントロールベースを質問表のような低レベルのメソドロジーを対象にして比較しており、これはこれで誤解を招きそうである
IT統制がよくわかる
IT全般統制については、監査法人や監査人によって言うことが違うので困っている実務者が多いと思います。そんな中で、日本ではじめて、IT全般統制の意味、内部統制全体の中での位置づけ、そして、評価実務について書かれた本といって間違いないでしょう。新日本監査法人に監査を依頼している上場会社のシステム管理者は読んでおいて損はないと思います。
リスクベースで進めるIT内部統制の実務
—–
