知財、ユビキタス、企業コンピューティング関連ニュースに言いたい放題

監査とITの間の言葉のギャップ

»

今、SOX法とか内部統制関連の仕事などもやったりしてます。自分は、一応、システム監査技術者でもありますし(公認情報システム監査人(CISA)の資格も持ってましたが、会費を払い忘れて資格を剥奪されてしまいました(T_T))。

監査関係の仕事をやっていて思うのは言葉の意味がわかりにくいということです。たとえば、最近よく聞く内部統制という言葉ですが、

「 基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守並びに資産の保全の4つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセス」

なんて定義されたりしています。「不正やミスを防ぐための社内のチェック機能」と言えば済む話なんですが、わざわざ言葉を難しくしているような気がします。

他にも、監査の世界での「リスク」という言葉の意味は、IT系の人が通常考えるイメージよりもはるかに広かったりします。効率性達成の阻害要因はすべてリスクと呼ぶようです。たとえば、「購買において相見積もりをしていないことがある」というのはリスクです。必要以上に高い買い物をすることで投資の効率性が損なわれる可能性があるからです。リスク→潜在的問題点と翻訳して考えた方がよさそうです。この辺、最初に確認しいておかないといつまでたっても意思疎通が図れないといったことになりかねません。

一方で、ITの外部者に「『ビジネス・インテリジェンス』なんて言わずに『ユーザーによるデータ分析』と、『SOA』と言わず『ソフトウェア部品化手法』と言えよ。IT系の人は簡単な概念をわざと難しい言葉使いにしてるんじゃないの?」と言われてしまうと返す言葉がないとも言えますが。

これからJ-SOX法対応がらみで、IT部門の人が監査法人の人と協業するケースが多くなると思いますが、プロジェクト成功のキーは、IT系の人と監査系の用語の相互理解をすることだと思っております。

Comment(3)

コメント

プロジェクトマネジメント(PMBOK)の世界では、良いリスクというものがあります。プロジェクトが計画より良い方向に向かってしまうことも不確実性としてリスク管理の対象とします。
最初、従来の言葉の意味に引きずられてなかなか実感ができませんでした。

栗原 潔

ふむふむ。それは興味深いですね。
The Free Dictionaryというサイト( http://www.thefreedictionary.com/ )でriskを引いてみたところ、"The possibility of suffering harm or loss"と通常考えられる語義に加えて、"The variability of returns from an investment"なんて定義もありました。要するに良い方向への変化もriskと呼んでしまうんでしょうかね?

栗原 潔

某ベンダーの子会社の不正に関する記事( http://itpro.nikkeibp.co.jp/article/NEWS/20060322/232999/ )ですが、タイトルに「内部統制にほころび」と書いてあります。去年同じ事件が起きてたとしたら、たぶん、「社内のチェック体制にほころび」と書いていたでしょう。要するに、内部統制とは別に特別な言葉でも何でもないわけです。

コメントを投稿する