見出し画像

IT監査の根本や歴史を学んでみる


証券資本市場の信頼回復・向上。

財務諸表の信頼性を確保し、証券資本市場の健全化に資すること。


そんな大層なものがあるとは、知らなかった。




こんにちは。
なつむです。


それなりにIT系な感じの企業の中で、
10年、IT監査に関わってきても、
実務しか知らない。

そんな私が、勉強会をすることにしました。


部内で(それはつまり、社内で、と同じ意味になる)
IT監査対応ができるのが、上長と私の二人しかいない。

というこの状況(ザ!属人化!笑)を打破するために。



鈴木さん、ありがとう。


一冊の本があった。
上長が、だいぶ前に買って、あまり読んでいないという。

「J-SOX対応 IT統制監査 実践マニュアル」
NPO日本システム監査人協会 編


それの「はじめに」が、わかりやすくて面白かった。

その「はじめに」を執筆された方は、
この本の編纂をしているNPO法人の
(もしかしたら刊行当時の?)会長さんで
鈴木信夫さんと書いてあった。

鈴木さん、ありがとうございます。




まだ20年の歴史しかない


私はそもそも、
今の時代にIT統制というものがある、ということを
知っているだけで、
その「始まり」を知らなかった。


日本でJ-SOX(←用語は後で説明します 笑)
が始まったのは、2008年。
その元になったアメリカの法律、SOX法が始まったのは、
2004年(法律が作られたのは2002年らしい)。


あれ? あ、そう、なんだ。

そのくらいの歴史しか、ないんだ。
世界レベルで見て、まだ二十歳?
日本では、15歳。


そうか。そういうことか。


他の業務(たとえば、経理や財務や労務、
 システムでも、そのものの保守運用とか)は、
長年それに携わった諸先輩方というのが
社内にいてくださるのだけれど、

IT監査について、知っている人がいない。

なぜだろうと思っていたけれど、
「そういうこと」なのだ。

たった10年で、
上長と私がこの会社で一番くわしいって
オカシイ(通常、管理系の業務ってそうじゃない)
と思ってきたけど、

無理もない。


たった15年前に、日本中で、よーいどん、って
始まった。

私は、最初の5年こそ知らないけど、残りの10年を知ってる
んだ。 笑

マジかー。 笑

IT監査対応というのは、
【ごく最近始まった、ごく最近、この世に生まれた仕事】
だったのだ。

何も知らなかったなぁ。



最初の世間のみんなの反応が「わかるー」


内部統制の世界には、COSOという
ルービック・キューブみたいな絵で表される
統制上、重要な「視座」を示した図があるのだが、

それに対して

COSOについては、日本の一部では、「そこまでできれば理想的であるが」というような受け取り方をされていたが、それが法制化の骨格になったわけである。

J-SOX対応 IT統制監査 実践マニュアル 「はじめに」より


この「そこまでできれば理想的であるが」。

絶妙な表現。 笑

「が」で切れる。

「が、どうした!?」というのが当然出てくる。


ここで省略されている言葉はおそらく

そこまでできれば理想的であるが
現実的ではないだろう。

そこまでできれば理想的であるが
あくまでも理想論だ。

そこまでできれば理想的であるが
実際そこまでやる必要があるだろうか。

みたいなことではないか。


でもそれを書かずに

「そこまでできれば理想的であるが」というような受け取り方

というのは、その先で口ごもってしまう当時の世間の様子を、
むしろ何かの言葉をつなぐよりもずっと見事に、
表していると思う。



感覚と合ってる


「はじめに」はこのように続く。

J-SOXに対しても、「どこまで整備、対応しなければならないのか」という懸念が出ている。だが、「どこまでやらなければならないのか」といういい方は、ある意味では、おかしいといえよう。
J-SOX対象企業なら、すでにそれなりのマネジメントシステム、つまり内部統制は整備されているはずである。とすれば、今回の作業は、法の要求事項と現在あるマネジメントシステムとの突き合わせ、再確認となる。自社のマネジメントシステムの再確認であれば、「適当にお茶を濁しておく」ことなどはできず徹底的にやらなければならない。

J-SOX対応 IT統制監査 実践マニュアル 「はじめに」より


私は、現場の実務を知らない立場から、IT監査に入った。
なので、IT監査の(当時お世話になった監査法人の方が
ご指導くださった)監査の考え方は
特に抵抗なく、「ストン」と体に入った。

その時に持ったのは

至極まっとうな、至って、まともなことをしている

という感覚だ。


お客様に対しては最高品質のシステムを作って
お納めしている、私達の会社も、

社内のシステムの管理については、その
「現在あるマネジメントシステムの再確認」
には、ずいぶんとパワーが必要だった。


でも、やっぱり、別の側面から見れば
やって当たり前のことをやっている、
のでもあるのだ、

というのは、自分の感覚と近くて、
あぁ良かった、と感じるところだ。



そんなことがわかった「はじめに」


いや、まだ「はじめに」なのに
個人的にはかなりすっきりしてしまった!


本文から、あと一箇所だけ話して、今日は終わろう。




IT監査の目的は、証券資本市場の健全化に資すること


IT監査が始まった、元をたどると、SOX法がアメリカで生まれ、
それについで日本でJ-SOX法が生まれた背景には、

「そんなことしてたら、資本市場自体が、
 みんなから信用されなくなっちゃうじゃんーーー!!」

という大事件があった。

エンロン事件とか。
日本では、カネボウの粉飾決算・虚偽報告とか。

あーー、近現代史に疎い私でも
聞いたことがあるー。


だから、みんなから、
「いや、ま、できたら理想的なんだけどさ。」(以下略)
というセリフが出るような、考え方というのを
考え方の根本に据えた、法律ができたということで。

なので、

その法律に基づいて行われるIT監査というのも、
それをちゃんとやるのはなんのため?

もちろん、自分の会社が資本市場で「だめ」って言われないように
というのがあるのだけれど、

そういうことを全部の企業がやることが、
ひいては「証券資本市場の健全化に資する」のだそうです。


壮大~~~~!!
考えたことも、なかったよ。


でも、そういうことがわかって、良かった。

それでこそ、中身ももうちっとちゃんと理解しようって
気になる、
ってなもんです。



次回があるかわかりませんが、
あったら中身の話を書きます。




ではまたーーーーー!





いいなと思ったら応援しよう!