サイト内検索

My Photo
April 2025
Sun Mon Tue Wed Thu Fri Sat
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30      

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« 総務省 明日からインターネット美化運動 | Main | 総務省 「インターネット美化運動2007 あなたの参加がネットを変える」 大臣から感謝状がもらえるようです。。。 »

2007.06.04

JASA 保証型監査概念フレームワーク

 こんにちは、丸山満彦です。日本セキュリティ監査協会(JASA)が、保証型監査概念フレームワークを公表していますね。。。
 従来の会計監査における監査論などを理解している人から見れば、つっこみどころ満載ですが、新しい監査を指向しているということで、従来の監査論の枠組みから離れてみてやってくださいませ。。。

【JASA】
保証型監査概念フレームワーク

 おもしろいのは、保証監査を次の3つに分けていることですね。。。
(1)社会的合意方式
(2)利用者合意方式
(3)被監査主体合意方式

 あわせて
概念フレームワークの概要
も・・・

 (1)社会的合意方式というのは、普通の保証業務です。社会的合意のある尺度と社会的合意のある行為規範に従って監査するということですから、「社会的合意」=「一般に公正妥当な」と置き換えれば、通常の保証業務とかわりません。。。

 (2)利用者合意方式と(3)被監査主体合意方式というのは、ちょっと明確ではないけど、「合意された手続」に近いのかなぁ・・・と思います。同じかどうかは微妙ですね。特に(3)。。。
 国際会計士連盟の基準体系では、合意された手続は保証業務ではないとしていますので、このあたりはちょっと違っています(定義の違いということだと思います。。。)。
 
 (2)利用者合意方式というのは、「監査報告書の利用者(1次利用者)が、監査人が採用する監査手続きの十分性について、暗黙または明示的に合意している」ということですね。。。「監査手続きの十分性」というのがちょっと目新しい感じです。合意された手続の場合は、「監査(検証)手続き」そのものについて合意がとれています。つまり、監査報告書の利用者が実施して欲しい手続を監査人に代行をしてもらうわけですから、手続レベルで合意がされている必要がありますが(実質的には現場レベルの手続については監査人に負かされることになるのですが。。。)、(2)利用者合意方式ではどのような検証手続を監査人が採用するのかについての裁量がより監査人にあるようにもとれます。。。特に、「監査人は、被監査主体が1次利用者の期待する情報セキュリティ確保の要求水準を満たしているかを確認するに十分な監査手続きを実施し、その結果を1次利用者に報告する。」となっているので。。。本当のところはどうなんでしょうか。。。保証水準で合意がとれていれば手続レベルでは合意がとれていなくても監査人の裁量でそこは幅があるということでしょうか。。。監査人に監査手続の選択の裁量があるのであれば、監査手続の選択の責任は監査人にあるということになりますので、注意が必要となりますね。
 米国の基準でいうところのCompliance Auditの場合は検証の目的に対する評価尺度の十分性及び適切性については依頼者に責任があることになっていて、評価尺度に対する検証手続の十分性及び適切性は監査人の責任となることから、これに近いという気もしますが、ちょっと違うような気もします。。。

 (3)被監査主体合意方式は、三者関係が存在していないので保証業務というよりもコンサルティング契約になるように思うのですがどうですか。。。ただ、「監査テーマや監査手続きについて、その結果に直接の利害関係をもつ監査報告書1次利用者の確認が得られていることが保証型監査の必要条件である」とされているところが気になります。「確認が得られている」というのは具体的にはどういうことなのか。。。これが微妙な感じですね。。。イメージとしては、内部監査を外部の人にしてもらったので利用できるのであれば利用してください。。。という感じでしょうか。。。

 ちょっとよくわからないので、いずれまた教えてもらうことにします。。。

 用語については、
・設計監査=整備状況の評価
・実装監査=運用状況の評価
のほうがよいでしょうね。J-SOXでメジャーになってきているし・・・

 保証の対象について「言明方式」となっていますが、保証の対象は「言明」となるのでしょうね。方式は対象となりませんから。。。さらに言うと、保証の方法を言明方式に絞る必要はないでしょうね。すでにJ-SOXでも明らかになっているとおり、言明方式でもダイレクトレポーティング方式(非言明方式)でも実施する検証手続には差がありませんから・・・

 一番の驚きが、「保証レベルの考え方」ですね。。。この考え方にはちょっとついていけません(すみません。。。)

 全体的に、新しい概念が多く、従来の概念の用語の読み替えも多く、経済産業省の報告書からの乖離もあり、、、やっぱりついていけません。。。すみません。。。

 (たぶん、監査法人は公認会計士協会の基準等に準拠する必要がありますので、公認会計士協会の基準に当てはめたらどうなるのかを意識しながら読むと思うんですよね。。。でないと、基準違反!!ってことになるるかもしれないので・・・。で、従来の概念と異なりすぎると監査法人の人は困るかなぁ・・・と思うわけです。。。)

 もちろん、できる限りのお手伝いはいたしますが・・・。しかし、これきついなぁ・・・

【過去の今日】
・2006.06.04 IT戦略本部 パブコメ 重点計画-2006(案)
・2005.06.04 与党 偽造・盗難カード法案 被害は原則金融機関の負担
・       電子債権法制定に向けて検討

2007.06.04 03:04 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証 |

« 総務省 明日からインターネット美化運動 | Main | 総務省 「インターネット美化運動2007 あなたの参加がネットを変える」 大臣から感謝状がもらえるようです。。。 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference JASA 保証型監査概念フレームワーク:

« 総務省 明日からインターネット美化運動 | Main | 総務省 「インターネット美化運動2007 あなたの参加がネットを変える」 大臣から感謝状がもらえるようです。。。 »