グーグルの「作った人が最後まで面倒を見る」は「職責分離」的にはどうなんだろか
(Translate to English)Tuesday Aug 29, 2006
ファイザー日本法人の SOX 法対応に関するケース・スタディにこんなことが書いてあった.
いわゆる 本番環境において開発スタッフが業務処理をできてしまう
ってやつ.
これまでの指摘項目を見ると、SOX法対応のポイントは大きく二つある。 一つは、職務分離の徹底。 (中略) 例えば、「アプリケーション保守は、内容を最も理解している開発者自身が担当したほうが効率的に思えるが、SOX法はこれを許さない」(以下略)。
先進事例に見る経営とIT 〈守る〉
そういえば, グーグルってこのへんどうなんだろ? たしかこんなこと言ってたっけ:
---研究エンジニアと開発,保守エンジニアの区別はないんですか。
リー氏: 区別はありません。作った人が最後まで面倒を見るのが一番効率がいい。考えた人が自分で作って,リリースして,ケア(保守)していく。一段落したらまた次のプロジェクトに取り掛かるというサイクルです。
「ソースコードを見せて,と創業者のラリーとサーゲイは言うんです」---Google アンジェラ・リー氏:ITpro
グーグルって基本的になんでも自前で作る (ように思える) から, きっと財務報告に影響を与えそうなバックオフィス・アプリケーションも内製してたりするんじゃないだろうか? でもそんなとこまで 「作った人が最後まで面倒を見」 てたら, 米国の上場企業の内部統制的には問題あるような...
気になったので, Google Inc. の Form 10-K をざっと読んでみた. とりあえず 2005 年度年次報告書では, 監査法人である Ernst & Young が 「Google Inc. は経営陣のいう通り財務報告に関する内部統制できてたよ」 (超省略 + 超意訳) と報告している.
REPORT OF ERNST & YOUNG LLP,
INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM
(中略)
In our opinion, management's assessment that Google Inc. maintained effective internal control over financial reporting as of December 31, 2005, is fairly stated, in all material respects, based on the COSO criteria. Also, in our opinion, Google Inc. maintained, in all material respects, effective internal control over financial reporting as of December 31, 2005, based on the COSO criteria.
では, その前の年度にはなにが書いてあるかというと (下線は筆者):
Risks Related to Our Business and Industry
(中略)
We are required to evaluate our internal control over financial reporting under Section 404 of the Sarbanes Oxley Act of 2002, and any adverse results from such evaluation could result in a loss of investor confidence in our financial reports and have an adverse effect on our stock price.
(中略)
We have in the past discovered, and may in the future discover, areas of our internal controls that need improvement. For example, during our 2002 audit, our external auditors brought to our attention a need to increase restrictions on employee access to our advertising system and automate more of our financial processes. The auditors identified these issues together as a ``reportable condition,'' which means that these were matters that in the auditors' judgment could adversely affect our ability to record, process, summarize and report financial data consistent with the assertions of management in the financial statements.ITEM 9A. CONTROLS AND PROCEDURES
(中略)
Since 2003 we have invested significant resources to comprehensively document and analyze our system of internal control over financial reporting. We have identified areas requiring improvement, and we are in the process of designing enhanced processes and controls to address issues identified through this review. Areas of improvement include streamlining and standardizing our domestic and international billing and other processes, further limiting internal access to certain data systems and continuing to improve coordination and communication across business functions.
2002 年度の監査で a need to increase restrictions on employee access to our advertising system
(Google の広告システムへの, 社員のアクセス制限を強化する必要性)
を指摘されてたとか,
今後改善を要する問題として
limiting internal access to certain data systems
(データの入っているシステムへの内部からのアクセスの制限)
を挙げているところが興味深い.
完全に妄想だけど, もしかしてこれって, システム (AdWords とか?) を
「作った人が最後まで面倒を見」 てたのを注意されたんだったりして.
グーグルの広告システムのアクセス権限不備の真相はわからないけど, いずれにせよ Web 2.0 的な諸々と内部統制とは, 現状いろいろぶつかるところがあるんじゃないかな. たとえば 「perpetual beta における変更管理」 とか, 今後議論すべきネタとして面白そう.
|
|
|
|
Tags: google internalcontrol sox
Posted by tkudo's weblog on July 31, 2007 at 03:31 PM JST #
Posted by tkudo's weblog on August 01, 2007 at 03:54 PM JST #