こんにちは、丸山満彦です。諸般の事情で更新が滞っていました。すでに昨日になっていますが、内部監査推進全国大会に参加してきました。といっても、昨日は夜のパーティだけでしたが。。。しかも、前の会議が長引いて、遅れていきました。。。すみません。。。明日はちゃんと発表します。。。
パーティーでは、石島先生、八田先生、大井先生はじめ、内部監査人協会の皆様、金融庁や企業の方とも挨拶ができました。。。
八田先生からは、「明日はポジティブに頼むよ」といわれましたので、「もちろん!」と元気良く応えました。。。ということで、明日の発表はポジティブにいきます(もちろん、いつも人生にポジティブですが。。。)
こんにちは、丸山満彦です。IPAが「2008年度第1回 情報セキュリティに関する脅威に対する意識調査の報告書」を公開していますね。。。
こんにちは、丸山満彦です。運転制御システム故障が原因となって新幹線が止まったようですね。。。システムが複雑になるとバグが出やすくなります。しかたがないことかもしれないのですが、なんとかしないとこの先危ないですね。。。
金融機関が第三者を入れて行っている、開発過程監査のようなものを特定の業種の特定の規模以上のシステム開発に導入するということも考えられますね。。。コスト・ベネフィット分析をする必要があるかもしれませんね。。。。
こんにちは、丸山満彦です。表題が長いなぁ。。。昨今、食品の産地偽装等、経営者の不正が相次いでいますが、COSOの内部統制報告書ってそもそも経営者の不正をなんとかしなければならないという問題意識のもとに作成されたものだと思っています。。。
だからこそ、精神論的かもしれませんが、Tone at the Topが強調されているんですよ。。。
大きな不正は担当者がするよりも経営者がするほうが圧倒的に多いですからね。。。
山口先生、だから
=====
これだけ内部統制システムを充実させていたとしても、切羽詰まった状況における経営トップの行動に誰もストップをかけることができず、多くの一般投資家に迷惑をかけてしまった現実には、正直、内部統制の無力感を抱かざるをえません。
=====
とあきらめずに
こんにちは、丸山満彦です。全日空のシステム障害は複数の問題が合わさっているので、これがひとつの原因というわけではないと思いますが、そのひとつにデフォルト値の管理の問題がありそうですね。システムが複雑になるとデフォルト値がそのままよく検討されずに導入されることも多々あるとは思います。デフォルト設定を無くすと全体としては導入コストが増加するので、このあたりのバランスが問題ですよね。。。
不正と誤謬(ミス)の2つに分けると、誤謬(ミス)の問題ですので、失敗学的な解決がよいのかもしれません。
システムが複雑になれば、このような誤謬(ミス)の発生可能性は飛躍的に高くなってくるわけで、何らかの体系的な対策が必要となってくると思います。
開発組織の問題、責任者の確認の問題、実施者の運用上の問題、商品側のユーザービリティ確保の問題等々・・・
第三者審査制度の導入も考えているようですが、金融機関ではすでにシステム開発過程監査といわれるようなことをやっていますしね。
また、システム的な対応として、デフォルト値を変更していないもののリストが優先順位をつけて上がるユーティリティーをつけるなども考えられますね。システム監査では、よくデフォルト値の変更の必要性の有無を検討しているかを監査したりしますよね。。。
こんにちは、丸山満彦です。政府がワクチン接種を優先する業種100職種を5ランクに分けて発表したようですね。。。(カテゴリー2は3つにわけています。)
法曹関係者はカテゴリー2、情報システム関連事業者はカテゴリー3になっています。公認会計士は番外となったような感じです。。。そうでしょうね。。。
こんにちは、丸山満彦です。内部統制の基準等では、経営者と監査人が協議することの重要性が強調されております。しかし、実質的にはどうも監査人の言いなりになっているケースが多いのではないかと思います。例えば、評価対象となる業務プロセスを決める場合も、経営者がA,B,Cを評価範囲とすると決めても、監査人が「A,B,Dを評価範囲とします。」といえば、経営者も、A,B,Dを評価範囲に変える場合が多いのではないでしょうか?経営者評価をする情報システムの範囲をX,Yとすると決めても、監査人が「X,Zの評価をします」と言い出すと、経営者評価の範囲もX,Zに変えてしまうのではないでしょうか?
こんにちは、丸山満彦です。食品偽装の事件が次々と発覚しておりますね。財務諸表の粉飾と似たところがありますね。
そもそも信頼できる市場の確保のために財務諸表監査が行われるわけですが、食品偽装も同じ構造で考えると分かりやすいかもしれませんね。
こんにちは、丸山満彦です。トーマツリスク研究所のウェブページに、「中国版SOX ( C-SOX ) はじまる! 」という記事がのっていますね。
経営者評価は義務だが、監査は任意というカナダ方式ですね。。。
こんにちは、丸山満彦です。お疲れ様です。技術情報の流出を防ぐため、不正競争防止法を改正し、技術情報を(元)社員などが不正取得した場合も刑事罰の対象とするような法改正を考えているようですね。。。社内の不正調査をしたこともありますが、アクセスコントロールが思ったほど十分にできていなかった場合など刑事罰とするといろいろと難しい問題もありそうですね。
こんにちは、丸山満彦です。The Center for Internet Security (CIS)が情報セキュリティの指標を公開していますね。。。
日本でも情報セキュリティ格付けがあるしね。。。実際にどこまで信頼できるできるのかと言う問題がありますが、それはstep by stepでよくなっていくということで。。。
こんにちは、丸山満彦です。久しぶりにココログの調子が良くないようで?臨時版に投稿したものをこちらにも載せます。環境省が「カーボン・オフセットの取組に係る信頼性確保のための情報提供ガイドライン(案)」のコメントを募集していますね。。。
変な表示が大量に出回る前にあらかじめ方向性をしめしておくのはよいことかもしれませんね。。。
こんにちは、丸山満彦です。日経BP社から「COBIT実践ガイドブック」が発行されていますね。。。COBITといえば情報システムの管理やITガバナンスのためのデファクトスタンダードと言われておりますがなかなか日本には浸透していませんでした。
その問題のひとつとして言語の問題があったと思います。最近やっと、COBITやその関連文書が翻訳され始めてきました。
「COBIT実践ガイドブック」は翻訳本ではなくて、日本企業にどのようにすればCOBITを導入できるかの解説本ですね。。。
こんにちは、丸山満彦です。日本公認会計士協会が「インサイダー取引に関するQ&A」を公表していますね。。。公認会計士の論文式試験もおわり、面接等もはじまっているようですね。
監査法人に入ろうと思っている方はぜひ読んでおくとよいでしょうね。
こんにちは、丸山満彦です。アビームが「内部統制の現在・過去・未来~J-SOX対応状況調査」を発表していますね。。。
2008年3月から5月にかけて実施された調査ですので、ちょっと前ですね。回答企業をグルーピング(規模と複雑性で)して分析しているところが面白いですね。。。
全社統制では50%、決算・財務報告プロセスでは57%、業務プロセスでは72%に内部統制の不備が見つかっているそうです。。。もちろんだからと言って重要な欠陥になるとは限らないのですけどね。。。
調査結果によると、評価者一人あたり100のキーコントロールを評価する必要があるようです。手続書を作って、評価を実施して、調書に書いて・・・と考えるとちょっと大変かもですね。。。
こんにちは、丸山満彦です。今日は防災の日ですね。。。関東大震災が発生したのは、1923年の9月1日。10万人以上の方がなくなったり、行方不明となったようですね。。。
今年の国の総合防災訓練は、始めて東南海・南海地震を想定した訓練となっているようですね。。。政府と大阪の連動した訓練となっているようです。
Recent Comments