(「大手監査法人+東証1,2部上場企業」ではほとんどない見かけませんが)
「中小監査法人+ジャスダック企業」のJSOX経営者評価文書で、たまに、奇異なRCMを見かけます。
ジャスダック企業は通常、相対的に小規模ですので、認識する業務プロセス中、販売プロセスと購買プロセスは、各々1つです。
ですから、主要な業務プロセスの、販売プロセスと購買プロセスのRCMも1つずつあり、それでOKなはずなのですが、、、
さらに、「IT業務処理統制「だけを羅列した」、販売プロセスと購買プロセスのRCM」が作成・保存されているのです。
なぜ、1つのはずの販売プロセスが、2つあるのでしょうか?
これまで見聞きしてきた経験上、旧IT委員会研究報告第36号「自動化された業務処理統制等に関する評価手続」の販売プロセスと購買プロセスのフローチャートを見て、「このようなIT業務処理統制のRCMを作らないといけない」と誤解してしまっているようです。
(注)この研究報告をキチンと読めば、「当該フローチャートは、IT業務処理統制を(少しでも多く)例示する趣旨で、敢えてコントロールを全部ACで表記しているだけ」と分かる。
多くの企業では、業務上のコントロールは、手作業統制、IT依存手作業統制、自動化統制(AC)が組み合わさっていて、100%がACということはありません。
■
