開発環境と運用環境の分離ができない場合は変更コントロール

　こんにちは、丸山満彦です。本日（正確には昨日ですが・・・）、多数の上場企業の財務諸表監査でIT全般統制の評価を行っている人と簡単な会話をしました。多くの企業で一番問題となっているのは、「開発環境と運用環境の分離」とその人はおっしゃっていました。

Continue reading "開発環境と運用環境の分離ができない場合は変更コントロール"

SAS No.55の内部統制の要素

　こんにちは、丸山満彦です。1980年代後半におこったいわゆる期待ギャップの解消のために米国ではSAS（監査基準書）の改定が相次いだわけですが、内部統制についての監査基準書も1988年に改定されました。その時の内部統制についての説明です。

Continue reading "SAS No.55の内部統制の要素"

総務省 ネット上のウソ発見器開発？

　こんにちは、丸山満彦です。総務省がまたまたすごいことを考えているようです。なんでも、インターネット上のウソや間違いらしい情報を自動的に洗い出すシステムの開発を考えているようです。
仕組みは、ネット上にある関連深い別の情報を探し出し、比較参照することで、情報の「デマ率」などを示すということらしいです。

Continue reading "総務省 ネット上のウソ発見器開発？"

事業継続計画策定済みは15% KPMGビジネスアシュアランス調べ

　こんにちは、丸山満彦です。2006.08.26の日経朝刊の9面に「事業継続計画「策定済み」まだ15%　国内企業の93%、必要性は認識」という記事がでていました。

Continue reading "事業継続計画策定済みは15% KPMGビジネスアシュアランス調べ"

気づいている内部統制の不備は早めに直すことが重要ですね・・・

　こんにちは、丸山満彦です。財務報告に係る内部統制の評価と監査の制度に向けて、プロジェクトを開始しているところが多いと思います。。。

Continue reading "気づいている内部統制の不備は早めに直すことが重要ですね・・・"

どこまで見ればいいか、どこまで評価すればいいかが、ポイントでしょう。

　こんにちは、丸山満彦です。日経BP社で堀江先生のインタビュー記事、「「なぜ必要か」の理解が足りない、利益を生む内部統制を目指せ （前編）」は興味深いですね・・・

Continue reading "どこまで見ればいいか、どこまで評価すればいいかが、ポイントでしょう。"

総務省 目印でネット上の情報流通を制御？の研究

　こんにちは、丸山満彦です。今朝のNHKニュースで、総務省が「情報が本来の所有者らの意思に反してネット上で流通するのを防ぐための新技術の開発に取り組む方針を固めました。」、というニュースが流れていました。

Continue reading "総務省 目印でネット上の情報流通を制御？の研究"

J-SOX実施基準、「具体例なし」の公算大」 日経コンピュータ 2006.8.21号

　こんにちは、丸山満彦です。日経コンピュータ 2006.08.21号に「J-SOX実施基準、「具体例なし」の公算大 200ページの原案を廃棄、草案公開は早くて10月」という記事が載っていますね。その中から気になる記述をいくつか・・・

Continue reading "J-SOX実施基準、「具体例なし」の公算大」 日経コンピュータ 2006.8.21号"

総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）

　こんにちは、丸山満彦です。総務省が「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）に対する意見募集を行っていますね。

Continue reading "総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」（案）"

「情報システムのコントロールと監査Q&A」における業務処理統制の分類

　こんにちは、丸山満彦です。「情報システムのコントロールと監査Q&A」（日本公認会計士協会情報システム委員会編 ,1997.11）が出版されています。研究会報告第12号「情報システムの内部統制の有効性の評価過程」の解説及び情報システムの内部統制の有効性を評価するための具体的な検証手続等を含めたQ&A集です。その中では業務処理統制は次のように整理されています。

Continue reading "「情報システムのコントロールと監査Q&A」における業務処理統制の分類"

個人情報の暗号化と安全管理措置のコメントへの回答

　こんにちは、丸山満彦です。「個人情報の暗号化と安全管理措置」のコメントへの回答が長くなったので、本文で回答です・・・

Continue reading "個人情報の暗号化と安全管理措置のコメントへの回答"

CSI/FBI 2006 Computer Crime and Security Survey

　こんにちは、丸山満彦です。CSI/FBI 2006 Computer Crime and Security Surveyです。

Continue reading "CSI/FBI 2006 Computer Crime and Security Survey"

SAS70、監査基準委員会報告書第18号

　こんにちは、丸山満彦です。2006.07.16に「上場企業から業務を受託している企業は財務報告に係る内部統制の経営者評価と監査の制度対応はできているか？」で対応の重要性と緊急性をお伝えしたつもりだったのですが、そもそも、SAS70や監査基準委員会報告書第18号を知らないという話を聞きましたので、情報源を・・・。

Continue reading "SAS70、監査基準委員会報告書第18号"

フィッシング進化論 日本銀行 インターネットバンキングの安全性を巡る現状と課題

　こんにちは、丸山満彦です。日本銀行の日銀レビューに「インターネットバンキングの安全性を巡る現状と課題」があります。論点が比較的まとまっています。進化するフィッシングの話があります。

Continue reading "フィッシング進化論 日本銀行 インターネットバンキングの安全性を巡る現状と課題"

財務報告に係る内部統制 海外展開

　こんにちは、丸山満彦です。財務報告に係る内部統制の評価及び監査の制度では、連結ベースですから当然海外子会社も対象となりますね。

Continue reading "財務報告に係る内部統制　海外展開"

個人情報の暗号化と安全管理措置

　こんにちは、丸山満彦です。武田先生が、2006.06.10のブログに「個人情報の暗号化通信は漏洩にあたるか？」を、そして、高木先生が、2006.08.12のブログに「流出した暗号化ファイルと傍受された暗号化通信データの違い」を書いていますね。

Continue reading "個人情報の暗号化と安全管理措置"

対策強度×保証強度

　こんにちは、丸山満彦です。特定の対象のセキュリティの強度を外部の第三者が信頼しようとする場合、単にその対象に対して行われている対策の内容についての情報だけでなく、その情報がどの程度信頼できるかという情報があればより信頼できるようになりますね。
　つまり、第三者からみた場合、情報セキュリティ強度＝対策強度×保証強度

Continue reading "対策強度×保証強度"

法務省 パブコメ 電子登録債権法制に関する中間試案

　こんにちは、丸山満彦です。法務省が2006.08.01に「電子登録債権法制に関する中間試案」に関する意見募集を行っていました。。。北岡弁護士のブログで気づいた。。。締め切りは、08.31です。

Continue reading "法務省 パブコメ 電子登録債権法制に関する中間試案"

SECに登録している日本企業の20-F Item15

　こんにちは、丸山満彦です。SECに登録している日本企業の20-F Item15 Control and Proceduresです。アドバンテストや日立などを見るとよいかもです。

Continue reading "SECに登録している日本企業の20-F Item15"

SEC 小規模会社の適用期限を延期

　こんにちは、丸山満彦です。SECが小規模会社のSOX404条の適用期限を延期すると発表していますね。

Continue reading "SEC 小規模会社の適用期限を延期"

内部統制部会議事録等

　こんにちは、丸山満彦です。企業会計審議会内部統制部会における議事等の一覧表です。

Continue reading "内部統制部会議事録等"

経営者評価の過程で記録、保存しておかなければならないと基準案で書いていること

　こんにちは、丸山満彦です。「財務報告に係る内部統制の評価及び監査の基準のあり方について」の「財務報告に係る内部統制の評価と監査の基準案」（以下、「基準案」という）で、記録、保存しなければならないと決められていることは次のとおりです。

Continue reading "経営者評価の過程で記録、保存しておかなければならないと基準案で書いていること"

内部統制報告書を提出しなければならない会社とその監査を受けなければならない会社

　こんにちは、丸山満彦です。2006年6月7日に「証券取引法等の一部を改正する法律案」が可決されたことから、JSOXと言われている財務報告に係る内部統制の評価と監査の制度が2008年4月1日以後に開始する事業年度より始まりますね。今回は、金融商品取引法の条文で書かれている、「内部統制報告書を提出しなければならない会社」と「その監査を受けなければならない会社」が誰なのかを書いておきます。

Continue reading "内部統制報告書を提出しなければならない会社とその監査を受けなければならない会社"

監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象（保証又は証明対象）の違い

　こんにちは、私が前からこだわっている話です。最近、大学の先生もし、実務もしている有名な公認会計士の人と話をしたときに、私と同じ意見だったので、ちょっと安心。感覚では、実務界では、両者は同じという意見が多いと思うんですけどね。。。　
　監査対象（保証又は証明対象）が同じであれば、そのために必要となる監査手続も同じになりますよね・・・。違いが生じるのは、ダイレクトレポーティング方式を採用するか、言明方式（アサーション方式）を採用するかではないように思うんですよね。。。

Continue reading "監査人が「内部統制は有効であると監査意見を述べる場合」と「内部統制は有効であるという報告書の内容が適正であるという監査意見を述べる場合」の監査対象（保証又は証明対象）の違い"

経営者評価を期末日現在にした理由

　こんにちは、丸山満彦です。米国SOX法404条の経営者評価でも、日本の内部統制の経営者評価でも内部統制を評価する時間枠については、事業年度にわたる期間ではなく、期末日現在となります。財務報告の信頼性を確保すると言う観点から考えると、財務報告である財務諸表に損益計算書、キャッシュフロー計算書等が含まれるので、事業年度にわたる期間が本来あるべきかもしれませんが、制度では期末日現在となっていますね。

Continue reading "経営者評価を期末日現在にした理由"

わたしは、エリートセキュリーマン

　こんにちは、丸山満彦です。日立システムズさんのセキュリティブログでセキュリティーマン検定を行っています。なかなかおもしろい。。。

Continue reading "わたしは、エリートセキュリーマン"

カナダ勅許会計士協会 Disclosure Controls and Procedures

　こんにちは、丸山満彦です。カナダ勅許会計士協会(Chartered Accountant of Canada)が Disclosure Controls and Procedures を発行していますね。

Continue reading "カナダ勅許会計士協会 Disclosure Controls and Procedures"

NIST SP800-53Aの評価手順書作成の考え方

　こんにちは、丸山満彦です。財務諸表監査もわりと監査意見形成について構造的に行われていますが、NISTのSP800-53A（現在ドラフトですが・・・）の評価はもっと構造的ですよね・・・。

Continue reading "NIST SP800-53Aの評価手順書作成の考え方"

内部統制が有効であるということ

　こんにちは、丸山満彦です。財務報告に係る内部統制の評価と監査の制度では、経営者がまず、財務報告にかかる内部統制が有効であるという結論を表明しなければなりません。
　COSOの内部統制報告書では内部統制が有効であることについて次のように述べています。

Continue reading "内部統制が有効であるということ"