webエンジニアなのに社内のIT全般統制勉強会に参加してきたよ!
「IT全般統制って大変。。。。」
「この時期本当にやだ。。。」
この時期になるとなざか聞くことが多くなる
IT全般統制
という言葉。
自分には関係ないと思っていましたが、 社内向けに勉強会が開催されていたので、
「何か手伝えることないかな?」
「普段意識しないといけないことってなんだろう?」
という疑問を解決するべく、
社内のIT全般統制勉強会に参加してきました!
参加してきたメモは以下のとおり!
参加理由:
開発には全く触れない部分
財務諸表が超大事!
- → 世間に公開する責務
- → 上場すると責務、未上場だと任意
- → 正しさが大事
請求プロセス & 原価プロセスって?
- → 会計関係システム & 勤怠関係システム
フロー
計画(規定・マニュアル)
運用(レビュー・承認)
監査(エビデンス)
各規定項のエビデンスを収集・確認するのが超大変
エビデンスの参考例
- 社内サーバールームの入退室記録
Git Hub・メールでもいいので、レビュー・承認を残すのは監査にやさしい、監査は嬉しい
→監査はプルリク、マージ大事
→一番ダメなのは口頭確認。エビデンスが残らない。
既存システムから請求書を発行するようになったらそれはIT全般統制の対象
→[質問]広告掲載やユーザー課金、広告課金は対象?
→課金額で対象なるならないが変わる。
その他
グループ企業が連結のインパクトが大きいと、
グループ企業にも内部統制のプロセスが必要になる場合がある。
僕はこう思ったよ!
IT統制の最も辛いのはエビデンス取りというのが意外だった。 Web業界ってエビデンスよりも成果、フローよりアウトプットとなりがちなのでこのあたりは 意識していきたい! でも、それ専用の企業やSIerや開発ってのはやりたくないなー。。。