金融庁と法務省の業務継続計画
こんにちは、丸山満彦です。金融庁が金融庁の事業継続計画を公表していますね。。。
June 2008
2008.06.30
やっぱり過剰反応があるんですかね。。。
こんにちは、丸山満彦です。「酔うぞの遠めがね」で昨日のっていた件です。。。
個人情報保護法の改正はしないことになったのですが結局、過剰反応はあるということですよね。。。
個人情報保護法施行前に、内閣府が音頭をとって各省庁のガイドライン作りの調整をすればよかったのだと思うのですが、いまから各省庁のガイドラインを内閣府主導で改訂していくということなんですかね。。。
2008.06.29
質問:結局内部統制の不備を3つに分けとるやんけ。。。
こんにちは、丸山満彦です。。。評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、内部統制の不備を、米国とは異なり、財務報告に与える影響に応じ「重要な欠陥」と「不備」の2つに区分することとしたわけです。これって、「米国と違ってコストに配慮しましたよ」という6つの理由の2番目なんですが、Q&Aを読んでいたら、結局不備を3つに分けとるやんけということに気づきました。。。
みなさん、そう思いませんか?
2008.06.28
総務省 パブコメ 「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)
こんにちは、丸山満彦です。総務省が「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)のパブコメを募集していますね。。。
2008.06.27
2008.06.26
質問:そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか?
こんにちは、丸山満彦です。仕事が忙しいので、Q&Aもろくに読めていません。。。でもQ21【関連会社における評価】というのを読むにつけ、持分法適用会社を内部統制の評価に加えたというのは論理矛盾を引き起こしていないかなぁ・・・と思うわけです。。。
2008.06.24
SEC Approves One-Year Extension for Small Businesses From Auditor Attestation Requirement in Sarbanes-Oxley Act
こんにちは、丸山満彦です。米国では小規模会社に対するSOX法404条(b)(独立監査人による監査)の適用が1年延長されたようですね。。。
コスト効果分析を実施してみて1年延長したようですから、小規模会社に対して内部統制報告制度のうち監査を適用することは「コスト>効果」ということになるのでしょうかね。。。
米国ではすでに404条が適用されてから数年が経ち、内部統制の監査の基準もAS5に改定され、SECによる経営者評価のガイドラインもでたので過剰反応も収まっていると思います。それでもなお、小規模会社への適用が延長されたわけですね。。。
2008.06.23
JNSA 2007年度 セキュアOSの導入に関する課題の試行結果報告書
こんにちは、丸山満彦です。JNSAが「2007年度 セキュアOSの導入に関する課題の試行結果報告書」を公表していますね。。。
「はじめに」からの抜粋ですが
=====
・・・
JNSAのDMZ設置サーバに対してセキュアOSを適用し、その過程も含めて広く公表していくことで多くの方にセキュアOSの本質を理解をしていただけるよう活動を展開することになった。
=====
ということのようです。。。
2008.06.22
経済産業省 産業構造審議会情報セキュリティ基本問題委員会中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて
こんにちは、丸山満彦です。経済産業省の産業構造審議会情報セキュリティ基本問題委員会が「中間とりまとめ~企業における戦略的な情報セキュリティガバナンスの確立に向けて」を公表していますね。。
2008.06.19
内閣官房 パブコメ 「次期情報セキュリティ基本計画に向けた第1次提言」
こんにちは、丸山満彦です。内閣官房情報セキュリティセンターが「次期情報セキュリティ基本計画に向けた第1次提言」等に対する意見募集をしていますね。。。
情報システム監査の実施状況 <= 監査白書
こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
3年に一度の調査?で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・
2008.06.18
EDPシステムの監査基準および監査手続試案
こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
内容的には今とあまり変わっていませんね。。。
2008.06.17
NHK 土曜ドラマ 監査法人
こんにちは、丸山満彦です。NHKの土曜ドラマ「監査法人」が始まりましたね。。。私は、予告どおり京都に蛍を見に行ったので見れませんでした。
まぁ、監査の実務をしたことのない学者と大手監査法人で監査実務をしたことのない人たちによる監修でもあり、まぁ、ドラマにするのも無理があるよなぁ・・・ということもあり、あまり気にしていなかったのですが、視聴者の評価によっては採用にも関係するし、入社後の期待ギャップにも影響するので、内容を理解しておくことは重要だなぁ・・・と思い出しました。。。
ということで、ブログなどでの評価をチェック・・・
ちなみに、ドラマをみたほかの会計士数名に話をきいたのですが(結構、みてました。。。)、全体としての意見は、「ドラマですからね。。。」ってことのようです。現金実査?やたな卸しのシーンは妙に描写が細かかったという話もありました。。。
2008.06.15
情報通信の安心安全な利用のための標語
こんにちは、丸山満彦です。。。「情報通信における安心安全推進協議会」が「情報通信の安心安全な利用のための標語」の募集をしていたようですが、その表彰式を開催したようですね。。。
白浜シンポジウムで有害情報規制の話にかかわってからかなり気になるようになりましたね。。。こういうことは重要です。でも、これだけでも無理です。で、落とし所をみんなで議論しながらそこに向かって努力していくことが重要なんだろうと思います。できないことを嘆いてもだめで、できるために必要なことをはっきりさせて、目標を定めて、マイルストーンをおいて進んでいかないとです。もちろん、予定通りには進みませんからつど、議論を重ねる。。。そういうやり方だと思います。。。
2008.06.14
経営者評価とは関係なく監査人が独自にサンプリングをし内部統制の有効性を評価する?
こんにちは、丸山満彦です。昨日は都内でafter-JSOXシンポジウムで基調講演をさせていただきました。朝1番から700名を超える方が参加されたそうで大変な盛況でした。ありがとうございました。私の話は単純で、米国で起こったことをほぼそのまま伝えたようなものでして、つまり、
(1)制度対応を効率的にしていきましょう。
(2)制度対応に伴って構築した社内基盤を活かして財務報告の信頼性目的以外の目的も達成できるようにしましょう。
ということです。。。
まぁ、今回の制度は国内外の投資家(多くは富裕層ですよね。。。)を保護しよう。。。という制度で経営者も従業員も余りモチベーションが上がらないかもしれませんが、上場企業グループで働いている以上仕方がないと割り切ってがんばって対応しましょう。
さてさて、このシンポジウムで次のような話がでていたので、ちょっとご紹介・・・。
監査法人の中には、基本的には経営者評価に依拠をせずに監査人が直接サンプリング等を実施し、内部統制の有効性を直接評価するように考えているところがあるようですね。。。
この場合、現場に対しては経営者評価のための例えば内部監査人によるサンプルテストと、監査法人によるサンプルテストの二つの対応が必要となるので、現場ではちょっと大変かもしれませんね。。。
2008.06.13
JNSA 内部統制におけるアイデンティティ管理解説書
こんにちは、丸山満彦です。JNSAから「内部統制におけるアイデンティティ管理解説書」が公開されましたね。。。
ベンダーであるCA、HP、IBM、Oracle等が協力しているところもすばらしいですが、SIerも加わって作ったところがよいでしょうね。。。
ID管理の歴史なんかから始まっていて、おもしろそうですね。。。
2008.06.12
COSO ED Guidance on Monitoring Internal Control Systems
こんにちは、丸山満彦です。COSOがGuidance on Monitoring Internal Control Systemsの公開草案を公表していますね。。。締め切りは8月15日、秋には確定版ができるような感じですね。。。
目的は
=====
・ To help organizations improve the effectiveness and efficiency of their internal control1 systems..
・ To provide practical guidance that illustrates how monitoring can be incorporated into an organization’s internal control processes.
=====
ということのようですね。。。
フレームワークは
=====
Establish a Foundation
> Tone from the top
> Organizational structure
> Baseline understanding of internal control effectiveness
Design & Execute
> Prioritize risks
> Identify controls
> Identify persuasive information about controls
> Implement monitoring procedures
Assess & Report
> Prioritize findings
> Report results to the appropriate level
> Follow up on corrective action
=====
監査に関係する団体がいくつかあるので、COSOのこの報告書はきになるところでしょうね。。。
ロジカルに整理されすぎると、重装備になる可能性もありますかね。。。
2008.06.11
IIA 政府機関等内部監査研究会
こんにちは、丸山満彦です。日本内部監査協会で「政府機関等内部監査研究会」というのが開催されるようですね。。。
=====
・・・近年、政府機関その他公共部門(以下「政府機関等」)では深刻な不祥事が頻発しているが、未だ包括的な再発防止策は確立されていない。
民間企業では、不祥事防止策として、ガバナンス・リスクマネジメント・コントロールの有効性の評価・改善を対象とするアシュアランス及びコンサルティング活動である内部監査の有効性が広く認知されている。この内部監査は政府機関等が直面する諸問題に対しても一定の役立ちを果たしうるものと考えられる。
当研究会では、関連するIIAのガイダンスと諸外国の動向を踏まえ、かつ政府機関等の民間企業に対するユニークな特性及び各組織の多様性に十分留意した上で、この領域で内部監査が果たしうる潜在的役割を識別し、その能力を十分に引き出すために充足すべき条件を探る。併せて、検討結果を有効に実現しうる方策を検討する。
=====
となっていますが・・・
IPA 情報セキュリティ関係報告書
こんにちは、丸山満彦です。IPAが情報セキュリティ関係の報告書等を3つ公開していますね。。。
・イスラエルにおけるバイオメトリック認証に係る技術戦略に関する調査
・欧州における情報セキュリティ関連動向調査報告書
・情報セキュリティ対策ベンチマーク活用集第2版
2008.06.08
ITGI/ISACA CobiT4.1日本語版を公表
こんにちは、丸山満彦です。。。COBIT4.1の日本語版がダウンロードできるようになっていますね。。。かかわっているにもかかわらず花田先生のブログを見て気づくという・・・だめだめですね。。。
2008.06.07
白浜シンポ無事終了。来年もできるように。
こんにちは、丸山満彦です。皆様お疲れ様でした。大変有意義な時間をすごすことができました。これも実行委員やスタッフの皆様のおかげです。。。
今年で12回目を迎え一区切りということで来年以降のことは一から考え直すということになっているようですね。。。個人的にはこんな有意義なシンポジウムは日本でも数少ないと思うのでぜひとも続けていければと思っています。私もできる範囲で協力していきたいなぁ・・・と思っています。。。
(注)最初は、「白浜シンポ無事終了。来年もあるといいなぁ・・・」という表題にしていたのですが、なんか他人事のようなので、「白浜シンポ無事終了。来年もできるように。」にしました。。。
2008.06.06
公認会計士協会 「監査・保証実務委員会研究報告第18号「監査時間の見積りに関する研究報告(中間報告)」の改正について」を公表
こんにちは、丸山満彦です。日本公認会計士協会から 「監査・保証実務委員会研究報告第18号「監査時間の見積りに関する研究報告(中間報告)」の改正について」が公表されていますね。。。
内部統制監査、四半期レビュー等の新しい制度が始まりますね。。。あくまでも参考ということで
「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について
こんにちは、丸山満彦@白浜です。。。ネットワンの山崎さんが講演しています。。。「どこまで(情報セキュリティ対策)を行えばよいのか基準が示されていない」という対策実施上の問題点(警察庁 平成19年1月不正アクセス対策等の実態調査)が紹介されていました。
どこまでセキュリティ対策をするのかというのは、(経営者の)自己責任の問題なんですが、そこまで日本人に求めるのは無理・・・という話もしていましたね。。。
経済産業省の個人情報保護法のガイドラインでも、政府統一基準でも、何をしろとはいっていますが、どこまでしろということは言っていません。
この点についても、いろいろな人から不満も聞きますが・・・
学校の先生は教育できるだけの知識があるのだろうか?@白浜
こんにちは、丸山満彦です。白浜シンポジウムに来ています。「教育現場から」@和歌山大学教育学部の豊田先生の話をきいています。
未成年者に携帯電話を持たせるのか、学校の裏サイトなどが話題となっていますが、生徒・学生の携帯電話の利用実態やmixiやブログの利用実態等の話がありました。。。先生の利用経験についてのアンケートの話もありました。。。
学校の先生の多くは、知識が不足しているので、適切な指導や授業ができないように思いました。。。
2008.06.05
今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。
こんにちは、丸山満彦です。今日から第12回サイバー犯罪に関する白浜シンポジウムが始まりますね。。。いってきます。。。
今回は「国民総ネット化時代の情報安全教育」ですね。。。
2008.06.04
「システム大手 障害撲滅へ開発改革急ぐ」
こんにちは、丸山満彦です。今朝の日経産業新聞にシステム障害を減らすためにシステム大手がいろいろな対策を講じているという記事が載っていますね。。。
例えば、「プログラム検証 富士通、第三者の目」、「仕様書統一 6社が検討会発足」とか・・・
2008.06.02
経済産業省 確定 「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書
こんにちは、丸山満彦です。経済産業省が「電子署名及び認証業務に関する法律の施行状況に係る検討会」報告書と意見募集の結果を公表していますね。。。
=====
本検討会では、電子署名法の施行状況を調査し、関係団体からの意見、要望を受けて、検討課題の整理・分析を行い、現行の電子署名法における課題を大きく技術的論点、制度的論点、ビジネス的論点に分けて議論し、検討を行った。
=====
ということなんですね。。。
Recent Comments