こんにちは、丸山満彦です。経済産業省が「新世代情報セキュリティ研究開発事業(クラウドコンピューティングセキュリティ技術研究開発)」の委託先を公募していますね。。。
事業の目的で
=====
現状のクラウドコンピューティングは既存のテクノロジーの集大成というべきものであり、今後も発展が期待されるものの、クラウドコンピューティングが次世代の基盤テクノロジーとなるためには、解決しなくてはならない課題があり、その中で最も重大な課題領域がセキュリティの確保、データプライバシーの確保であると考えられます。そこで本事業においては、クラウドコンピューティングに必要なセキュリティ技術とはどのようなものであるのかの検討に加え、具体的な技術開発を行います。
=====
としていますが、クラウドコンピューティングという用語の定義が明確にする必要があるとは思いますが、もはや難しいでしょうかね。。。
セキュリティ監査の話もありますね。。。
こんにちは、丸山満彦です。金融庁が「平成21年3月決算会社に係る内部統制報告書の提出状況」を公表しています。
56社(2.1%)に重要な欠陥があり内部統制は有効ではないということのようですね。。。
内部統制の有効性を評価できなかった会社が9社あったわけですが、こちらのほうが問題ですね。。。
こんにちは、丸山満彦です。多数の誤謬が決算・財務報告プロセスにおいて発見できず、これらの誤りが財務報告に与える重要性が高いために重要な欠陥と判断したようですね。。。
こんにちは、丸山満彦です。経営者不正があり統制環境に重要な欠陥があると判断した内部統制報告書がありますね。全社統制に重要な欠陥があったとして、拠点等を2/3から90%に拡大して評価したけど、やっぱりだめだったということを書いていますね。。。
こんにちは、丸山満彦です。期末時点では内部統制に重要な欠陥があったが内部統制報告書提出日までに重要な欠陥が解消された事例ですね。。。
こんにちは、丸山満彦です。全社的な内部統制に重要な欠陥があった場合に該当するのでしょうか。。。
=====
適正な財務報告を実現するためのコーポレートガバナンスが機能していないという重要な欠陥がありました。
=====
こんにちは、丸山満彦です。ITGI JapanのウェブページにIT Assurance Guideの日本語訳「IT統制の保証ガイド」が公表されていますね。。。
システム監査やIT全般統制の評価をする際に役に立つと思います。。。
こんにちは、丸山満彦です。ビジネスブレイン太田昭和が重要な欠陥があると内部統制報告書に記載しています。正直に意見表明しているという点では非常によいのではないでしょうか?重要な欠陥があるとしても、判断規準がグレーな部分もあり、「有効である」としている会社とすれば、そんな会社よりもよっぽどよいですね。。。
現在、150数社が内部統制報告書を提出しているようですが、重要な欠陥があると意見表明したのは初めてのように思います。。。
こんにちは、丸山満彦です。JASA(日本セキュリティ監査協会)が保証型監査促進プロジェクト報告等を公表していますね。。。なかなか面白いです。
こんにちは、丸山満彦です。経済産業省が、「情報セキュリティ監査手続ガイドライン(案)」及び「情報セキュリティ監査手続ガイドラインを利用した監査手続策定の手引(案)」についての意見募集をしておりますね。。。
こんにちは、丸山満彦です。公認会計士協会が、「上場会社のコーポレート・ガバナンスとディスクロージャー制度のあり方に関する提言 -上場会社の財務情報の信頼性向上のために-」を公表していますね。
こんにちは、丸山満彦です。FISCAMを表にしてみました。。。J-SOXのIT全般統制やIT業務処理統制を考える上でも参考になりますね。。。
こんにちは、丸山満彦です。GAOのシステム監査マニュアル・・・2月に公表されていました。。。忘れないうちに・・・
=====
FISCAM control activities are consistent with NIST Special Publication 800-53 and all SP800-53 controls have been mapped to the FISCAM.
=====
ということですので、NIST Sp800-53とも対応がとれているということになっていますね。。。
こんにちは、丸山満彦です。日本監査役協会から
・上場会社に関するコーポレート・ガバナンス上の諸課題について」
・財務報告に係る内部統制報告制度の下での監査報告書記載上の取扱いについて
・会計監査人との連携に関する実務指針
・「第2回 財務報告に係る内部統制報告制度に関するインターネット・アンケート」調査結果[最終]
を公開していますね。。。
こんにちは、丸山満彦です。経済産業省が
・「試行排出量取引スキーム」における「自主行動非参加企業向けモニタリング・算定・報告ガイドライン(案)」
・「第三者検証機関による排出量検証のためのガイドライン(案)」
・「検証機関が行う検証業務の運営体制整備に関する事項(案)」
に対するパブコメが募集されていますね。。。
会計監査系とISO監査系の融合?はここでも。。。
こんにちは、丸山満彦です。公認会計士協会が「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」を公開していますね。。。
こんにちは、丸山満彦です。コクヨグループが「コクヨグループ CSR報告書2009」を公開していますが、その中にKPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書がありました。。。
興味深いですね。。。ISAE3000を参考にしたネガティブアシュアランスです。。
こんにちは、丸山満彦です。
監査法人トーマツが、リスクマネジメントに関するコンサルティングサービスに特化した新会社、「デロイト トーマツ リスクサービス株式会社」を新設したようですね。
■監査法人トーマツ
・2009.03.18 デロイト トーマツ リスクサービス株式会社 新設のお知らせ
こんにちは、丸山満彦です。監査、ISMS認証、成熟度評価、要介護認定って違うようで同じで、同じようで違うようでどうなんでしょうかね。
たとえば会計監査では、財務諸表が、一般に公正妥当と認められる企業会計の基準に準拠して、会社の財政状態、経営成績、キャッシュ・フローの状況をすべての重要な点において適正に表示しているかどうかについての意見を表明します。
マネジメントシステム認証では、組織のマネジメントシステムが規格に適合しているかどうかを判定?していますね。
成熟度評価は、いくつかのレベルについての基準を設け組織等がどのレベルの基準に合致しているかを判定?しますよね。
要介護認定も、いくつかのレベルについての基準を設けその個人がどのレベルの基準に合致しているかを判定?することになると思うんです。
成熟度評価はある意味、基準に合致しているかどうかを判定するので保証業務(会計監査も保証業務に含まれます)であるという意見もありますので、そういう意味では要介護認定も保証業務?といえるのだろうか???という気もしてきますね。
こんにちは、丸山満彦です。更新が滞っていますが。。。気まぐれ日記ということで。。。SANSのConsensus Audit Guidelinesは参考になりますわ。。。
こういう基準は、一部の特定の学者や事業者が権威の力を借りて一般に公正妥当と認められる基準をつくったことにするよりも、利害関係者が集まって実践を繰り返す中で必要なものを作り出していくことが重要なんですよね。。。
こんにちは、丸山満彦です。会計士協会から82号の改定の公開草案等も公開されておりますが、内部統制報告制度はやはり難しくて悩むところが多いように思います。
ある人から次のような質問を受けました(論点は整理しましたが。。。)、どうでしょうか?
=====
社長が、「今期は業績が予想を下回ることは確実だが、何としても当初の予想利益の30%減にとどめるように」と財務部長に厳命したそうです。
このような場合、
(1)統制環境に不備があるといえるでしょうか?ならないとすれば、どのような場合でしょうか?
(2)また、そうであれば重要な欠陥となるのでしょうか?ならないとすれば、どのような場合でしょうか?
(3)また、統制環境(全社的な内部統制)に不備があるとした場合、業務プロセスに係る内部統制の評価の見直しが必要となるのでしょうか?ならないとすればどのような場合でしょうか?
(4)また、必要であれば、上記の社長発言が期末日付近の場合はどのように業務プロセスに係る内部統制の評価手続に反映すればよいのでしょうか?
=====
あくまで想定の話ということで。。。
こんにちは、丸山満彦です。監査役協会が昨年に引き続き「財務報告内部統制報告制度」に関するアンケート調査を実施し、その結果を公表していますね。。。
=====
初年度は「重要な欠陥」が残る可能性が高いと思っている企業は前回は12%程度でしたが、今回は6%台に下がっていますね。。。
監査人の対応方針についての問題点等についても、「監査人の評価基準や評価方法が明確でない」とか、「監査法人としての対応が会計士個々人で違う」とかいろいろあるようです。。。
こんにちは、丸山満彦です。日本公認会計士協会が「温室効果ガスの量を公表するよう義務づけるべきだと提言」すると新聞に書いていましたね。。。
記事によると有価証券報告書に記載を義務付けるように、金融庁、経済産業省に提言するようです。有価証券報告書の記載事項となると、内容の正確性が求められますので、企業内部で集計するシステムとその集計を保証するための内部統制が重要となってくるでしょうね。。。
で、将来的には監査も???
どこまでその数字の正確性が求められるようになるかですよね。。。排出権の取引などお金にかかわってくると必要となる可能性が高まりますね。。。
こんにちは、丸山満彦です。対前年比です。。。 監査企業数は2%減っていますが、総時間は4%アップ、監査費用は8%アップ、単価は4%アップとなっていますね。。。
こんにちは、丸山満彦です。今年もまた、日本公認会計士協会が監査実施状況調査を公表していますね。。。
=====
この監査実施状況調査は、平成20年11月末日までに提出された平成19年4月期から平成20年3月期までの1年間に係る監査概要書及び会社法監査実施報告書並びに平成19年度の信金・信組・労金の監査実施報告書、学校法人監査実施報告書、特定目的会社監査実施報告書、投資事業有限責任組合監査実施報告書、独立行政法人監査実施報告書及び国立大学法人等監査実施報告書により調査したものであります。
=====
この資料をもとに計算してみると・・・
【日本公認会計士協会】
・2009.01.30 監査実施状況調査(平成19年度)
【このブログ】
・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円(詳細データ)
・2008.04.07 昨年度の総監査時間は1465万時間、総監査費用は1760億円、平均時間単価は12,000円
こんにちは、丸山満彦です。PCAOBが「Staff Guidance on Auditing Internal Control Over Financial Reporting in Smaller Public Companies」を公表していますね。。。
例示もあって、参考になりまっせ。。。
こんにちは、丸山満彦です。公認会計士協会が「監査・保証実務委員会報告第82号「財務報告に係る内部統制の監査に関する実務上の取扱い」の改正案について意見募集をしていますね。。。
=====
追加で公表されましたQ&Aの内容等を踏まえ、主に次の事項のさらなる明確化を図るため見直しを行ってまいりました。
・ 内部統制の重要な欠陥の判断について、補完統制、不備の潜在的な影響額の算定、重要な虚偽記載が発生する可能性の検討、不備が複数存在する場合の対応など
・ 内部監査人等の作業を利用する場合、その客観性、利用する程度や監査人が内部統制の整備・運用の検討を行う時期の留意点など
=====
ということのようですね。「え゛~。。。今頃~新しい基準?」とお思いの方もいると思いますが、新しいものというよりも書いているとおり明確にしたものです。大手監査法人では従前から同じようにしていたと思いますので、実務上で大幅な変更が生じるようなことはないと思います。。。
また、IT全般統制の評価についてもいろいろと追記されていますので注意して読んでみるとよいと思います。。。
こんにちは、丸山満彦です。総務省が地方公共団体における外部監査制度に関する調査の結果を公表していますね。。。
●包括外部監査の費用の平均金額
・都道府県=約1,636万円
・指定都市=約1,880万円
・中核市=約1,492万円
・包括外部監査条例制定市区町村=約824万円
・全団体=1,528万円
●平均勤務日数(監査人+補助者=合計)
・都道府県=54.8人日+148.6人日=203.6人日
・指定都市=48.8人日+187.5人日=236.3人日
・中核市=47.1人日+128.6人日=175.7人日
・包括外部監査条例制定市区町村=25.7人日+98.6人日=124.3人日
・全団体=47.9人日+142.1人日=190人日
となると平均単価もわかりますね。。。
こんにちは、丸山満彦です。日本公認会計士協会と監査役協会が「監査役若しくは監査役会又は監査委員会と監査人との連携に関する共同研究報告」の改正案についてコメントを募集していますね。。。
「監査役」っていたっけ?なにしてたっけ?という状況は長く続かないのかもしれませんね。。。公認会計士が専門性を求められているように、監査役も法律や会計についてのある程度の専門性が求められるでしょうね。。。
こんにちは、丸山満彦です。「上場企業監査人・監査報酬白書 2009年版」が購入できますが、監査報酬についての興味深い分析が行われております。日米の監査報酬の比較等も行われております。同じ日本企業でも、SEC登録企業等であればそうでない企業よりも監査報酬が圧倒的に高くなりますね。。。どこに違いがあるのでしょうかね。。。
日米比較、日本企業でSEC登録企業等の監査報酬上位10社と非SEC登録企業等の監査報酬上位10社のリストです。。。出典は「上場企業監査人・監査報酬白書 2009年版」および「上場企業監査人・監査報酬白書 2008年版」です。
こんにちは、丸山満彦です。最近、「世界における日本」というものをよく考えたりしますが、東京証券取引所はグローバルマーケットから見放されつつあるようにも見えますよね。。。
こんにちは、丸山満彦です。公認会計士協会が「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表してますね。スプレッドシートについてのQ&Aが追加されています。。。
こんにちは、丸山満彦です。11月7日に会計監査人から「平成19年度決算検査報告」が行われておりますが、不当事項を読んでいますとひどいものですね。。。結構、むかついてきます。昨年もそうでしたが。。。
例えば、外務省の場合
2在外公館において、会計担当者であった外務事務官が、資金前渡官吏の補助者として支払等の事務に従事中、平成15年3月から18年11月までの間に、修繕工事代金や航空券代等を支払うために振り出された小切手を現金化するなどした前渡資金計11,914,499円を領得したものである。
〔本件損害額については、20年9月末現在で補てんが全くされていない。〕
①雪谷税務署、大和税務署
本件は、職員が、国税の各種事務を処理するシステムの端末機を不正に使用することにより、虚偽の還付金の支払決議書等を作成するなどして自己名義の預金口座に振り込ませて、還付金計3,602,003 円を領得したものである。
[本件損害額は、20 年9 月末現在で補てんが全くされていない。]
②東村山税務署、小田原税務署、甲府税務署
本件は、職員が、国税の各種事務を処理するシステムの端末機を不正に使用することにより、虚偽の還付金の支払決議書等を作成するなどして自己名義の預金口座に振り込ませて、還付金計17,459,581 円を領得したものである。
[本件損害額は、20 年9 月末現在で補てんが全くされていない。]
③左京税務署、中京税務署
本件は、職員が、国税の各種事務を処理するシステムの端末機を不正に使用することにより、実在する法人を支払先とする虚偽の還付金の支払決議書等を作成するなどした上で、郵便局で当該法人の代表者を装い還付金の支払を受けて、還付金計314,432,344 円を領得したものである。
[本件損害額については、20 年9 月末までに43,807,553 円が同人から返納されている。]
④大牟田税務署
本件は、職員が、国税の各種事務を処理するシステムの端末機を不正に使用することにより、虚偽の還付金の支払決議書等を作成するなどして自己名義の預金口座に振り込ませて、還付金計7,622,214 円を領得したものである。
[本件損害額については、20 年9 月末までに5,685,651 円が同人から返納されている。]
公会計の整備と運用、内部統制の構築が不可欠ですね。。。法制度を整備したほうがよいでしょうね。。。となると、国会議員の仕事となるわけです。。。
でも、財務・会計や内部統制に詳しい国会議員が少ないのが現状ですね。。。
こんにちは、丸山満彦です。18日に公認会計士試験の合格発表がありましたね。。。合格者の方、おめでとうございます。
今年は3,625人が合格されたようですね。。。合格率は、17%程度(合格者数/願書提出者数)ですね。
私も本日(18日)合格祝賀会にいってまいりましたが、うれしそうな顔を見るとこちらまでうれしくなりますね。。。
多くの人が合格を支えてくれたことにちゃんと感謝しましょう。
皆さんは、これでプロフェッショナルのスタートラインに立ったわけです。これからが本番です。プロフェッショナルでいるためには自分で引退を決めるまでたゆまぬ自己研鑽を続けていく必要があります。苦労して取得した資格ですから、資格を持っていることに誇りを持つことは必要ですが、おごってはいけませんね。。。
みなさん、がんばってくださいね。
こんにちは、丸山満彦です。総務省は、政府認証基盤(GPKI)アプリケーション認証局サービスにおいて、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
検証の範囲は、政府認証基盤(GPKI)アプリケーション認証局サービスですが、加入者登録業務を行っている外部登録局(府省等登録局)における内部統制は、当監査法人による検証の範囲外ですね。。。
WebTrust for CAの認証取得は日本では4番目(セコムトラストネット、インテック、財団法人地方自治情報センターのLGPKI がすでに取得していますね。。。)ということのようです。。。
監査法人別では、トーマツが3つ、PwC(あらた)が1つとなっていますね。。。
こんにちは、丸山満彦です。Googleといえば、Googleマップがプライバシーを侵害しているようなケースがありいろいろと話題となっておりますが。。。今回はGoogle AppsがSAS70の監査を受けているという話です。。。
このブログでも、
・2006.08.17 SAS70、監査基準委員会報告書第18号
で紹介していますが、SAS70ってその仕組みがなかなか理解されていませんよね。。。「SAS70認証を取得」とか。。。そういう話ではないんですよね。。。
そういえば、Webtrustも取得していると書かれていたので調べてみると、どうやらPostiniという会社がWebtrustの監査を受けていて、その会社を買収したようですね。。。
こんにちは、丸山満彦です。環境省が、「カーボン・オフセットの取組に対する第三者認証機関による認証基準(Ver. 1.0)(案)」に対する意見を募集していますね。。。
こんにちは、丸山満彦です。このタイミングで、IT業務処理統制は誰が識別すべきか悩んでいるという話を聞いてちょっとびっくりしておりますが。。。
IT業務処理統制は簡単にいうと、「アサーションに直接関係する統制のうち、人間だけではなくてコンピュータも利用して行っている統制」です。たとえば、「売上金額の正確性を確保するために、単価マスターの数字以外が入力できないようにする」というのは、売上の正確性に関係するIT業務処理統制と考えることができます。
さて、このようなIT業務処理統制は誰が識別すべきか、つまり業務部門側とIT部門側の誰が識別すべきかというのが問題になっている会社もあるようです。
この問題を解決するためには、オーナーとカストディアンという関係を整理するとよいと思います。。。
こんにちは、丸山満彦です。内部監査人協会(The Institute of Internal Auditors,Inc. IIA)が新しい「International Standards for the Professional Practice of Internal Auditing」を公開していますね。日本内部監査協会もその仮訳を公開しています。大きな変更はないようですが。。。
こんにちは、丸山満彦です。諸般の事情で更新が滞っていました。すでに昨日になっていますが、内部監査推進全国大会に参加してきました。といっても、昨日は夜のパーティだけでしたが。。。しかも、前の会議が長引いて、遅れていきました。。。すみません。。。明日はちゃんと発表します。。。
パーティーでは、石島先生、八田先生、大井先生はじめ、内部監査人協会の皆様、金融庁や企業の方とも挨拶ができました。。。
八田先生からは、「明日はポジティブに頼むよ」といわれましたので、「もちろん!」と元気良く応えました。。。ということで、明日の発表はポジティブにいきます(もちろん、いつも人生にポジティブですが。。。)
こんにちは、丸山満彦です。内部統制の基準等では、経営者と監査人が協議することの重要性が強調されております。しかし、実質的にはどうも監査人の言いなりになっているケースが多いのではないかと思います。例えば、評価対象となる業務プロセスを決める場合も、経営者がA,B,Cを評価範囲とすると決めても、監査人が「A,B,Dを評価範囲とします。」といえば、経営者も、A,B,Dを評価範囲に変える場合が多いのではないでしょうか?経営者評価をする情報システムの範囲をX,Yとすると決めても、監査人が「X,Zの評価をします」と言い出すと、経営者評価の範囲もX,Zに変えてしまうのではないでしょうか?
こんにちは、丸山満彦です。食品偽装の事件が次々と発覚しておりますね。財務諸表の粉飾と似たところがありますね。
そもそも信頼できる市場の確保のために財務諸表監査が行われるわけですが、食品偽装も同じ構造で考えると分かりやすいかもしれませんね。
こんにちは、丸山満彦です。トーマツリスク研究所のウェブページに、「中国版SOX ( C-SOX ) はじまる! 」という記事がのっていますね。
経営者評価は義務だが、監査は任意というカナダ方式ですね。。。
こんにちは、丸山満彦です。アビームが「内部統制の現在・過去・未来~J-SOX対応状況調査」を発表していますね。。。
2008年3月から5月にかけて実施された調査ですので、ちょっと前ですね。回答企業をグルーピング(規模と複雑性で)して分析しているところが面白いですね。。。
全社統制では50%、決算・財務報告プロセスでは57%、業務プロセスでは72%に内部統制の不備が見つかっているそうです。。。もちろんだからと言って重要な欠陥になるとは限らないのですけどね。。。
調査結果によると、評価者一人あたり100のキーコントロールを評価する必要があるようです。手続書を作って、評価を実施して、調書に書いて・・・と考えるとちょっと大変かもですね。。。
こんにちは、丸山満彦です。米国ではまだ、SOX法による内部統制報告制度の是非が議論されているそうです。。。
●DIAMOND ONLINE
・2008.08.26 日本企業を縛る米国流SOX法に無理に付き合う必要はない
こんにちは、丸山満彦です。ISACA名古屋支部のウェブページが新しくなりましたね。。。
ところで、9月の月例会は「トヨタ自動車株式会社 常務役員 グローバル監査室担当」の「辻 晶仁(つじ あきひと)氏」による、「「内部統制の評価」トップダウン型リスクアプローチとその実践」ですね。。。
●9月月例会
・2008.09.27 16:00-18:00 @監査法人トーマツ 名古屋事務所
「内部統制の評価」トップダウン型リスクアプローチとその実践
講師: 辻 晶仁(つじ あきひと)氏 トヨタ自動車株式会社 常務役員 グローバル監査室担当
こんにちは、丸山満彦です。公認会計士協会から監査・保証実務委員会研究報告「公認会計士等が行う保証業務等に関する研究報告」についてのパブコメの募集がありましたね。。。
こんにちは、丸山満彦です。高砂熱学工業株式会社が2008.08.08に横領があったことを公表しております。こういう事例から内部統制の整備のポイントを学ぶのもよいかもしれませんね。。。
こんにちは、丸山満彦です。政治家に関連する団体が経費の架空計上など、いろいろと不正があったことから政治資金規正法が改訂されて、政治資金の収支報告が適正に行われているか監査されることになりましたね。。。収支報告書が適正かどうかの監査です。。。弁護士、会計士、税理士は政治資金適正化委員会に備える名簿への登録することにより、監査人になれますね。。。
内部統制がしっかりしていないと、こわくて監査を引き受けられませんね。。。というのは、会計監査では常識ですが、政治資金監査の場合も同じでしょうね。。。
こんにちは、丸山満彦です。そういえば、ニフティで連載中の「週刊リスクガイド」を監修しています。5回目が公開されていますが、お盆明けには6回目が公開される予定です。。。
これとセット?で、鈴木先生の「3分スタディ 個人情報保護法」もあります。
漫画がどぎついというご意見もあろうかと思いますが、楽しくお伝えするのが目的ですから。。。
ちなみに、ライブの連載をブログの左上に表示することにしました。。。
こんにちは、丸山満彦です。経済産業省が「マネジメントシステム規格認証制度の信頼性確保のためのガイドライン」を公表していますね。。。
こんにちは、丸山満彦です。内部統制報告制度が導入され、不正等に対する内部統制の記述が不十分であると指摘されたりすることもあるとは思いますが、公認会計士協会から出されている「監査提言集」を読むと(例えば、「Ⅰ-06 商習慣を利用した架空循環取引による架空売上の計上」など)、それって難しい注文であることがよくわかります。
こんにちは、丸山満彦です。IIAが公表しているGlobal Technology Audit Guide seriesに「事業継続管理」と「IT監査計画の立案」が新たに公表されていました。。。ということでご紹介。。。
こんにちは、丸山満彦です。日本総研が、内部統制報告制度取り組みに関する実態調査の結果を公表していますね。。。なかなかよいアンケートだと思いました。
特に、政策担当者の方には大変参考になるのではないかと思います。
こんにちは、丸山満彦です。日本公認会計士協会から「監査提言集」なるものが配布されました。これって、監査業務審査会が、監査業務の実施状況を調査した結果に基づいて作成したもの(必ずしも事実を記述しているわけではない)ですが、様々な不正の事例がのっており、内部統制を構築する上で、とりわけ不正防止のための内部統制を構築する上で非常に参考になると思います。
これって、会員にしか配布していないと思いますが、PDFにして公開したほうが社会のためによいのではと思います。。。
非常に少ないコストで、非常に大きな効果があると思うんですけどね。。。
こんにちは、丸山満彦です。isologueを読んでいると、監査法人が人気!という話がありました。米国では以前から監査法人というかAccounting firmは人気です。2000年ごろに米国のAccounting firmで働いていましたが、当時から女性が働きやすい企業の全米5位だか8位だかにDeloitteが選ばれていましたから、昔から結構、人気なんですよね。。。
順位については、・・・
こんにちは、丸山満彦です。会計については扱うつもりはないのですが、今回の長銀裁判の最高裁の判決、気になりましたのでアップです。
早速、山口弁護士や葉玉弁護士のブログで取り上げられていますね。。。法律系の方のご意見も聞きたいのですが、会計系の学者や専門家の意見も聞いてみたいですね。
特に、会計系の学会ではどのように取り上げられるのだろうか。。。とか。。。
監査系の学会では監査との関係でどのように取り上げられるのだろうか。。。とか。。。
気になります。
こんにちは、丸山満彦です。NHKの監査法人の最終回を見ました。といいながら、原稿を書きながらでしたが。。。なので、ところどころ、見逃していたりします。。。
このドラマのおかげで、「丸山さんって、いつもニコニコしているけど、大変なお仕事されていたんですね。。。」なんて言われたりもして、「そんなこともありませんよ。。。」とも言いづらく、「ドラマですからね。。。」なんていいながらごまかしています。他の専門職のドラマでも同じことなんでしょうね。。。
こんにちは、丸山満彦です。日本システム監査人協会近畿支部 20周年記念シンポジウムに参加してきました。
私はパネルで好きなことをしゃべるという役回り。。。言いたいことをいってきました。。。
みなさん、ありがとうございました。。。
こんにちは、丸山満彦です。中国でも財務報告に係る内部統制の評価と監査の制度が導入されるようですね。。。
公開草案があるのですが、中国語なのでよくわかりません。中国語が読める人ってうらやますぃです。。。
こんにちは、丸山満彦です。財団法人地方自治情報センターが、LGPKI の「アプリケーション認証局」において、WebTrust for CAの規準に基づく検証報告書を監査法人トーマツから取得し、WebTrustシールの使用の許諾を得たようですね。。。
WebTrust for CAの認証取得は日本では3番目(セコムトラストネット、インテックがすでに取得していますね。。。)ということのようです。。。
ウェブトラスト検証報告書はダイレクトレポーティングでも言明方式でもできますが、この検証報告書は言明方式で行われています。。。
=====
当監査法人は、「経営者の記述書」が、認証局のためのWebTrust の規準に基づいて、平成20 年1 月16 日から平成20 年4 月15 日までの期間において、すべての重要な点において適正に表示されているものと認める。
=====
こんにちは、丸山満彦です。NHKの土曜ドラマ「監査法人」をやっと観ました。はじめは気にしていなかったのですが、監査法人に対してどのようなイメージを社会に与えるのかなぁ・・・と思いながら観ようと思っていたんです。でも、話はすでにとんでもない状況のところまで来ておりまして・・・
こんにちは、丸山満彦です。米国では小規模会社に対するSOX法404条(b)(独立監査人による監査)の適用が1年延長されたようですね。。。
コスト効果分析を実施してみて1年延長したようですから、小規模会社に対して内部統制報告制度のうち監査を適用することは「コスト>効果」ということになるのでしょうかね。。。
米国ではすでに404条が適用されてから数年が経ち、内部統制の監査の基準もAS5に改定され、SECによる経営者評価のガイドラインもでたので過剰反応も収まっていると思います。それでもなお、小規模会社への適用が延長されたわけですね。。。
こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
3年に一度の調査?で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・
こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
内容的には今とあまり変わっていませんね。。。
こんにちは、丸山満彦です。NHKの土曜ドラマ「監査法人」が始まりましたね。。。私は、予告どおり京都に蛍を見に行ったので見れませんでした。
まぁ、監査の実務をしたことのない学者と大手監査法人で監査実務をしたことのない人たちによる監修でもあり、まぁ、ドラマにするのも無理があるよなぁ・・・ということもあり、あまり気にしていなかったのですが、視聴者の評価によっては採用にも関係するし、入社後の期待ギャップにも影響するので、内容を理解しておくことは重要だなぁ・・・と思い出しました。。。
ということで、ブログなどでの評価をチェック・・・
ちなみに、ドラマをみたほかの会計士数名に話をきいたのですが(結構、みてました。。。)、全体としての意見は、「ドラマですからね。。。」ってことのようです。現金実査?やたな卸しのシーンは妙に描写が細かかったという話もありました。。。
こんにちは、丸山満彦です。昨日は都内でafter-JSOXシンポジウムで基調講演をさせていただきました。朝1番から700名を超える方が参加されたそうで大変な盛況でした。ありがとうございました。私の話は単純で、米国で起こったことをほぼそのまま伝えたようなものでして、つまり、
(1)制度対応を効率的にしていきましょう。
(2)制度対応に伴って構築した社内基盤を活かして財務報告の信頼性目的以外の目的も達成できるようにしましょう。
ということです。。。
まぁ、今回の制度は国内外の投資家(多くは富裕層ですよね。。。)を保護しよう。。。という制度で経営者も従業員も余りモチベーションが上がらないかもしれませんが、上場企業グループで働いている以上仕方がないと割り切ってがんばって対応しましょう。
さてさて、このシンポジウムで次のような話がでていたので、ちょっとご紹介・・・。
監査法人の中には、基本的には経営者評価に依拠をせずに監査人が直接サンプリング等を実施し、内部統制の有効性を直接評価するように考えているところがあるようですね。。。
この場合、現場に対しては経営者評価のための例えば内部監査人によるサンプルテストと、監査法人によるサンプルテストの二つの対応が必要となるので、現場ではちょっと大変かもしれませんね。。。
こんにちは、丸山満彦です。COSOがGuidance on Monitoring Internal Control Systemsの公開草案を公表していますね。。。締め切りは8月15日、秋には確定版ができるような感じですね。。。
目的は
=====
・ To help organizations improve the effectiveness and efficiency of their internal control1 systems..
・ To provide practical guidance that illustrates how monitoring can be incorporated into an organization’s internal control processes.
=====
ということのようですね。。。
フレームワークは
=====
Establish a Foundation
> Tone from the top
> Organizational structure
> Baseline understanding of internal control effectiveness
Design & Execute
> Prioritize risks
> Identify controls
> Identify persuasive information about controls
> Implement monitoring procedures
Assess & Report
> Prioritize findings
> Report results to the appropriate level
> Follow up on corrective action
=====
監査に関係する団体がいくつかあるので、COSOのこの報告書はきになるところでしょうね。。。
ロジカルに整理されすぎると、重装備になる可能性もありますかね。。。
こんにちは、丸山満彦です。日本公認会計士協会から 「監査・保証実務委員会研究報告第18号「監査時間の見積りに関する研究報告(中間報告)」の改正について」が公表されていますね。。。
内部統制監査、四半期レビュー等の新しい制度が始まりますね。。。あくまでも参考ということで
こんにちは、丸山満彦です。会計監査の信頼性がいろいろと取り上げられていますが、マネジメントシステムの認証の信頼性についても課題となっているようですね。。。
JISのマネジメントシステム認証の仕組みは、日本工業標準調査会(JISC)の「審査登録のしくみ」を見るとわかりますが、認定機関が認証機関を認定し、その認証機関が認証を受ける組織の活動がJISQ9001に適合しているかどうかを認証し、登録するという仕組みになっています。
JISCの議論などもみていると(例えば、ガイドライン(案)に対する認証機関からの意見について )面白いですね。。。
マネジメント認証を理論的に厳密に突き詰めると、規格(例えば、JISQ9001)への適合性の認証となるのですが、そうすると規格に「適合していることが必ずしも社会の期待ではない」ので、理論的になればなるほど社会の期待からのずれが生じる。一方、社会の期待にあわせようとすると、あいまいな認証の基準が入り込む余地がでてくるので、認証の透明性が損なわれる。。。
「規格の内容が必ずしも社会の期待に一致していない」、「認証の仕組みが社会の期待を反映できない」の2つに問題わけて考えたほうがよいかもしれませんね。。。
こんにちは、丸山満彦です。閑人さんから「監査の品質」についてコメントをいただいたので普段考えていたことの備忘録で・・・
そもそも品質管理っていうけど、監査の品質管理って言う場合に、
・「グレードを向上させる」ことなのか
・「ばらつきを減らす」ことなのか
また、
・「Quality Management」なのか
・「Quality Control」なのか
を混乱して利用されている場合がありそうです。
こんにちは、丸山満彦です。金融庁が、「公認会計士・監査法人に対する懲戒処分等の考え方」の改訂(案)についてのパブコメを募集していますね。。。
こんにちは、丸山満彦です。ISACAがITAF™: A Professional Practices Framework for IT Assurance を公開していますね。。。
監査基準のようなものです。。。
こんにちは、丸山満彦です。総務省の「地方自治情報管理概要」の調査が毎年9月末から10月初旬にかけて行われているようですが、取り上げていなかったのでいまさらながらまとめて・・・
こんにちは、丸山満彦です。事実関係だけを羅列します。さまざまな分野の専門家により、さまざまな角度から分析され、よりよい社会になるとよいと思います。。。
こんにちは、丸山満彦です。金融庁、日本公認会計士協会、(社)日本経済団体連合会の3団体が、共同で「内部統制報告制度相談・照会窓口」を設置するようですね。。。
こんにちは、丸山満彦です。情報セキュリティ格付会社が5月2日に設立されるそうですね。。。
=====
情報セキュリティ格付とは、企業など組織が取り扱う技術情報や営業機密、個人情報などのセキュリティレベルをランク付けするもので、具体的には、マネジメントの成熟度、セキュリティ対策の強度、コンプライアンスへの取り組みなどの観点から定量化し、記号や数値で指標化します。
=====
大変おもしろい取り組みだと思います。世界にも広がるとよいですね。。。
こんにちは、丸山満彦です。日本公認会計士協会が監査実施状況調査を公表していますね。。。
=====
この調査は、平成20 年2 月末日までに提出された平成18 年4 月期から平成19 年3 月期までの1年間に係る監査概要書及び会社法監査実施報告書並びに平成18 年度の信金・信組の監査実施報告書、学校法人監査実施報告書、特定目的会社監査実施報告書、投資事業有限責任監査実施報告書、独立行政法人監査実施報告書及び国立大学法人等監査実施報告書により集計したものである。
=====
この資料をもとに計算してみると・・・
こんにちは、丸山満彦です。監査役協会の「財務報告内部統制報告制度」に関するアンケート調査結果の速報版の調査結果を見る限り、8社に1社程度は適用初年度に「内部統制に重要な欠陥がある」と意見表明するかも・・・と思っているようです。
評価ができないよりもよいですよね。。。
【監査役協会】
・2008.04.04 「有識者懇談会の設置」、「「財務報告内部統制報告制度」に関するインターネット・アンケートの調査結果」等について記者会見を開きました
・・「財務報告に係る内部統制報告制度」に関するインターネット・アンケート調査結果[速報]
こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表していますね。。。長い題ですね。。。
=====
本研究報告は、IT委員会報告第3号の一部改正に合わせて、平成18年3月17日に公表したものです。今般、昨今のITに係る財務諸表監査を取り巻く環境の変化に伴い、会員が実務上必要と思われる例示及び留意点を新たに追加し、公表することとしました。
今後、ますます重要性が高まるであろうIT監査理解のため、本研究報告にお目通しいただければと思います。
=====
公認会計士向けです。。。一応。。。
こんにちは、丸山満彦です。内部統制報告制度の導入を巡り、若干の混乱が生じているようですが(金融庁が11の誤解をだすような状況ですので・・・)、この混乱の原因をちゃんと正直に見極めることが重要なんでしょうね。。。反省がないところに、改善はありませんので・・・
ひとつは、やはり内部統制の基準(実施基準も含む)が評価をするという観点からはよくないのではないかと思っています。そもそもCOSOの内部統制報告書は内部統制を評価するための基準(つまりクライテリア)ではなかったのだろうと思います(カナダ勅許会計士協会が策定したCoCoではその点に触れています)。にもかかわらず、米国ではCOSOを判断基準として導入をしました。それが混乱の元になったのではないかと思います。COSOはその点はちゃんと理解していたと思います。中小企業向けのCOSOでは、評価を意識して、原則を書いています。この原則が非常に重要なんですよね。。。原則を実現できれば、そのための手続はどうでもいいわけです。手続ベースであれば、手続をちゃんとしなければなりません。どのような状況であっても特定の手続を実施することが、原則を実現するための最適な手続であれば、その特定の手続の実施をすることが意味があるのですが、必ずしも特定の手続の実施が、原則を実現するための最適解でない場合にストレスを感じることになります。
日本の基準では、米国の混乱を気にして、基準でやり方(手続や具体的な判断基準)を決めることで(例えば、勘定科目を決めるとか・・・)悩まずにできるようになり混乱が減ると考えたのかもしれませんが、原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか・・・という気もします。
こんにちは、丸山満彦です。
=====
しかしながら、実務の現場では、一部に過度に保守的な対応が行われているとも言われております。金融庁では、そうした指摘も踏まえ「内部統制報告制度に関する11の誤解」を公表し、改めて制度の意図を説明することといたしました。
また、併せて、内部統制報告制度の円滑な実施に向けた行政の対応を公表することとしました。
=====
改めて制度の・・・ということですね。。。
こんにちは、丸山満彦です。金融庁の公認会計士・監査審議会、通称CPAAOB(Certified Public Accountants and Auditing Oversight Board )が、「監査の品質管理に関する検査指摘事例集」を公表しています。全社的な内部統制の構築の際の目安になるかもしれませんね。。。
こんにちは、丸山満彦です。昨年11月に「@nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。
こんにちは、丸山満彦です。実施基準のP41には、
=====
経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。
=====
とあるのですが、具体的に、
(1)どのような全社的な内部統制が有効でない場合に
(2)どのような業務プロセスに係る内部統制が有効であれば、
全体としての内部統制が有効であるといえるのか?
ひとつでもよいので具体例を教えていただきたい。。。といわれたら、あなたは何を例としてあげますか・・・
こんにちは、丸山満彦です。先日セミナーで「業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくのではなく、キーコントロールは経営者が勘定科目別アサーション別(たとえば、売上高の網羅性)にもっとも依拠しているコントロールとして考えて、それが本当にそうであるかを判断するしかない。」という話をしました。
トップダウンアプローチというのは、経営の上層部から勘定科目別アサーション別にもっとも依拠しているコントロールを識別し、それが重要性の金額との比較において、本当に重要な虚偽表示を予防または発見できるようなコントロールであるかを判断していく方法だと思うんです。。。でも、ちまたでは、業務記述書を網羅的に書いて、コントロールを網羅的にあげて、その中から、キーコントロールを選定していくという方法をとっている場合が多いように思うんです。これは、ボトムアップアプローチですよね。。。
でも、その後、質問が来ました。「経営者が依拠しているコントロールが、本当にキーコントロールとして十分にリスクを低減しているかはどのようにして、監査人に説明したらよいのでしょうか。。。」
つまり、網羅的にコントロールを識別し、その中から何かの条件式にしたがって、デジタル的にキーコントロールを識別するほうが監査人には説明しやすいということだと思うんですよ。。。でもね、、、
こんにちは、丸山満彦です。米国では、小規模会社へのSOX法404条の適用をさらに1年間延長することを決定したわけですよね。。。少なくとも費用効果分析をしなければ、制度導入の意味はないということなのだろうと思います。
ところが日本の場合は、そんなことを検討すらした形跡もなく(この点については、「弦巻ナレッジネットワーク」に詳しい)、はじめから導入ありきで始まっている。もちろん、米国での導入の経緯を踏まえて日本ではコストがよりかからないような配慮を基準に織り込んだということなのでしょうけど。。。
しかし、そこに書かれている。
=====
① トップダウン型のリスク・アプローチの活用
② 内部統制の不備の区分
③ ダイレクト・レポーティングの不採用
④ 内部統制監査と財務諸表監査の一体的実施
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
⑥ 監査人と監査役・内部監査人との連携
=====
のいずれも、実際はそれほど本質的ではないように思えるんですよね。
①については、米国では勘違いによって網羅的にリスクを洗い出し、コントロールを洗い出し、キーコントロールを識別していくという方法をとった会社が多かったのでそうなったのですが、日本でも同じようなコンサルの仕方をしている会社もあるようですので、あまり効果はなかったのだと思います。
②については、全然本質的ではありません。実務的にはやはり、「重大な欠陥」と、重大な欠陥ではないがこれを放置しているとやがて重大な欠陥につながるので取締役、執行役や監査役には伝えておいたほうがよい「重要である不備」と本当にささいな「不備」の3つに分けるだろと思うんです。
③については、ダイレクトレポーティングか言明方式かには本質的な違いはないんです。あえていうと言明方式のほうが二重責任の原則をより明確にできるという違いくらいだろうと思っています。むしろ、日本の場合は、内部統制報告書の適正性の監査にした結果、監査すべき対象が内部統制の有効性以外にも広がっているという点で、よりコストがかかる方向になっていると思います。この点は、制度で狙っていたことと逆の方向になっていると思います。
④については、米国でもそうです。
⑤については単に報告書の文字数の問題だけかもしれません。
⑥についても同様です。「そうですね。」という程度です。むしろ、日本の場合は、会社法による監査役の会計監査人の監督の話と、金商法の監査役を含む統制環境を公認会計士が監査対象として評価するという、二匹の蛇が互いに尻尾を食べあっている状態を作っているのではないかと話題になり混乱を招いたのではないかと思うんですよね。
おそらくほとんどの会計士の人は①~⑥の話は「あまり理由になっていないなぁ・・・」と直感では感じていると思うんです。声にはださないけれども・・・
つまりですね。。。
こんにちは、丸山満彦です。内部統制報告制度の本番を目前に控えていますが、解決しなければならない制度上の問題がそろそろ浮かびあがりつつありますので、政策担当者の皆さんはこれから、このような制度上の問題点を拾い上げて改善していくプロセスに入っていくのだろうと思います。。。(未確認ですが。。。)
さて、今回の制度の導入において最も懸案していたことは、米国での制度導入に際して企業に過大な費用負担を負わせることになったということでしょう。この点については、金融庁の企業会計審議会内部統制部会の中でも十分考慮されていたことだろうと思いますし、「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について(意見書)」の前書きにあたる部分にも
=====
評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、具体的に以下の方策を講ずることとした。
① トップダウン型のリスク・アプローチの活用
経営者は、内部統制の有効性の評価に当たって、まず、連結ベースでの全社的な内部統制の評価を行い、その結果を踏まえて、財務報告に係る重大な虚偽記載につながるリスクに着眼して、必要な範囲で業務プロセスに係る内部統制を評価することとした。
② 内部統制の不備の区分
(略)
③ ダイレクト・レポーティングの不採用
監査人は、経営者が実施した内部統制の評価について監査を実施し、米国で併用されているダイレクト・レポーティング(直接報告業務)は採用しないこっとした。この結果、監査人は、経営者の評価結果を監査するための監査手続の実施と監査証拠等の入手を行うこととなる。
④ 内部統制監査と財務諸表監査の一体的実施
(略)
⑤ 内部統制監査報告書と財務諸表監査報告書の一体的作成
(略)
⑥ 監査人と監査役・内部監査人との連携
(略)
=====
と書かれているところです。ところが、やはりこの前提が本当に正しいのかについて、そろそろ真摯に検討しはじめてもよいように思います。とりわけ、
「① トップダウン型のリスク・アプローチの活用」
「③ ダイレクト・レポーティングの不採用」
については、その中でも特に③については、米国でも新しい監査基準において改善され、ダイレクト・レポーティングのみの採用となったことからも、米国がこのような決断をした背景等も踏まえて、検討を始めてもよいように思います。
現場においても、具体的には、経営者評価の範囲について監査人の判断と経営者の判断が異なるような場合に、経営者の判断が適切でないと監査人が判断すると、結果的には、経営者評価の範囲が適切でないことをもって、不適正意見を出されてしまうのではないかという恐れ(あくまでも可能性ですが)から、経営者の判断を取り下げて監査人の判断にしぶしぶ従ってしまうような状況も生じているとの話も聞き及んでいるところです。その結果、経営者が基準に従って自ら決めた評価範囲の文書化作業を中止ないしは既に文書化した内容を破棄し、監査人が必要と判断した業務プロセスの文書化を新たに始めなければならないというような状況になっている場合もあると聞いています。
このような状況を避けるためには、監査人は、経営者評価の如何にかかわらず内部統制の有効性を独自に評価するという米国のダイレクトレポーティング方式を採用すれば解決することになります。もちろん、現在の方式においても監査人の監査の対象を内部統制の有効性にのみ限定するという方法でもかまいません。いずれにしても、現在の枠組みでは、
・経営者評価の適正性についても監査人が意見をさしはさまざるを得ない状況を作り出していること、
・評価や監査の実務が熟成されていない段階で、判断に迷うようなグレーゾーンがあること、
から、監査人は自らのリスクを回避するために保守的な判断をせざるを得なく(もし、不適切な監査意見を出すと金融庁による重い処分があるかもしれないという恐れを持っている)、経営者側も監査人にダメといわれるのが分かっているのであれば監査人にしたがってしまおうと流れてしまうのもやむをえないと思います。
制度の導入の結果を踏まえ、改善すべきことは改善するということは必要であります。なによりも、今、日本の証券市場が世界、アジアの中でも存在感を減じているという話もあるなかですので、適切な日本の証券市場の育成が重要です。そのためにも、証券市場における適切な制度の導入が必要となりますね。。。
こんにちは、丸山満彦です。「行政機関個人情報保護法の施行状況調査の調査項目等(案)に対する意見募集」が行われていますね。。。監査の状況も含まれていますね。。。
こんにちは、丸山満彦です。土曜日も仕事なわけです。。。で、ちょっと息抜きに「これだけは知っておきたい内部統制の考え方と実務 評価・監査編」八田進二著を読んでいたわけです。帯には「よくある誤解をズバリ指摘」とあるわけです。。。
八田先生の思いがこもっているはずですから、今回の制度で「?」と思うところについて、何か解決のヒントがあるかもしれずと思ったわけです。。。
そのうちのひとつが解けました。。。なぜ、日本では、ダイレクト・レポーティング方式を採用しなかったか。。。
こんにちは、丸山満彦です。日本公認会計士協会が、IT委員会研究報告「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」を公表していますね。。。
こんにちは、丸山満彦です。内部統制報告書に何を書くべきかそろそろ気になるころでしょうか。。。(まだですかね。。。)
内部統制監査では、内部統制報告書に重要な虚偽の表示がないかどうかの合理的な保証を得ることがもとめられているので、直接の監査の対象となるわけですから、内部統制報告書に記載する内容は重要かも・・・(なんていったて日本はダイレクトレポーティング方式ではないわけですから。。。)
こんにちは、丸山満彦です。日本監査役協会が、「内部統制システムに係る監査委員会監査の実施基準(公開草案)」を公表していますね。。。
こんにちは、丸山満彦です。ISOの審査を統括する国際認定機関フォーラム(IAF)が、認証の信頼性を高めるために審査方法を見直すという記事がありました。。。
認証をとっている企業だからといって、品質がよいとは限らない・・・という構造上の問題に切り込むのでしょうかね。。。
マネジメントシステム認証で結果の認証ではないので現在の制度では当然ですが・・・
こんにちは、丸山満彦です。日本公認会計士協会からIT委員会研究報告「自動化された業務処理統制等に関する評価手続」(公開草案)が公開されていますね。。。
こんにちは、丸山満彦です。ITProに「討論 “SOX”は病原菌か福音か 」という谷島宣之さん(経営とITサイト編集長)と島田優子さん(日経コンピュータ)の討論がのっていますね。。。
内部統制報告制度に対する批判等が書かれております。おおむね企業に過剰な負荷をかけるのではないか・・・というのが多いように思います。が、、、
こんにちは、丸山満彦です。監査役協会が「会社法施行後における監査役監査の実践事例 調査結果」を公表していますね。。。金融商品取引法の準備についてのアンケートもありますね。調査時点がちょっと古いですけど・・・
こんにちは、丸山満彦です。なかなか仕事が忙しくて落ち着いて物事を考える時間もなく、ブログも五月雨になりがちです。。。
IIAが「GTAG8(業務処理統制の監査)」の日本語仮訳を掲載 していますね。IT業務処理統制について書いていますね。。。
こんにちは、丸山満彦です。会計検査院が「平成18年度決算検査報告の概要」を公開していますね。。。NHKの時事公論でも取り上げられていました。。。
トンネル工事をはじめたが、トンネルの出口の用地買収ができずに、工事が中止になった事例もあるようですね。。。途中までトンネルをほっても出口が作れなかった。。。子供でも分かりそうな理屈。。。
=====
トンネル工事に着手するに当たって、終点側の用地の取得が見込まれるとして工事に着手したものの、その後の用地交渉によっても土地所有者の合意が得られなかったため、工事を中止している事態が4箇所見受けられた。
これらの4箇所におけるトンネル整備事業費は、18年度末までで直轄事業59億8339万余円(2事業主体)、国庫補助事業51億4464万余円(国庫補助金相当額30億1026万余円)(2事業主体)計111億2804万余円に上っている。また、この整備事業費には、トンネル掘削機械等の設置費用計7551万余円と中止に伴い必要となった撤去費用計3923万余円が含まれており、トンネル工事を再開した場合には、トンネル掘削機械等の編成等は必ずしも同じではないが、これらの再設置、再撤去に伴う費用が発生することになる。
=====
111億円ですか。。。
=====
こんにちは、丸山満彦です。日本公認会計士協会が、IT委員会研究報告「ITに係る内部統制の枠組み~自動化された業務処理統制等と全般統制~」(公開草案)を公表していますね。。。
こんにちは、丸山満彦です。日本経団連が「財務報告に係る内部統制報告制度に関する調査結果概要」を公表していますね。。。経団連の会員企業の一部の企業(75社)に送付し、37社から回答を得たもので、経営者評価を行う、又はその経営者評価について監査を受ける立場として、非常に示唆に富む意見が載っていますね。一般論として制度設計に係るもの、監査人とも参考にするとよいでしょうね。。。
【日本経団連】
・2007.11.02 財務報告に係る内部統制報告制度に関する調査結果概要
課題の抜き出し・・・
こんにちは、丸山満彦です。内部統制の不備がそれだけでは、重要な欠陥とならなかったとしても、毎年毎年同じ不備が改善されないと、そのことが全社統制の不備となり、場合によっては重要な欠陥となるという話しもあるようです。ところで、持分法適用会社についても全社統制の評価をしなければならないようですが、、、
こんにちは、丸山満彦です。公認会計士協会が監査・保証実務委員会報告第83号「四半期レビューに関する実務指針」を公表していましたね。。。期末監査や内部統制監査よりも、保証水準が低いレビューとなります。。。
こんにちは、丸山満彦です。PCAOBがStaff Guidance On Auditing Internal Control in Smaller Public Companies を公表したようですね。。。
まだ読んでいません。
こんにちは、丸山満彦です。経済産業省が、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)追加付録(案)」についてのパブコメを募集していますね。。。
=====
=====
こんにちは、丸山満彦です。ある会計事務所のパートナーと話をしていて思いつきました。。。内部監査人が、外部監査人が監査を行うのとまったく同じ監査手続きを行い、財務報告が適正であると監査意見を述べれば内部統制は有効と判断できるのではないだろうか。。。。。と。。。。。そうであれば、業務プロセスにおける内部統制の記述などの文書化作業とそれに続く細かい評価手続きなんかをせずに、外部監査人と同じ手続きを内部監査人がすることにより効率的に内部統制が有効かどうかの意見表明ができるのではないだろうか。。。
こんにちは、丸山満彦です。とある人と話をしていると次のような話になりました。ある業務プロセスにおいてITが利用されているので、IT全般統制も評価しなければならないと思い、一生懸命IT全般統制の評価シートをつくり、IT全般統制の評価をしようとしていたけれども、実はその業務プロセスでは、複雑な計算をしているわけでもなく、情報システムによる承認プロセスがあるわけでもなく、マニュアルによる内部統制でアサーションがカバーされていたということです。
こんにちは、丸山満彦です。情報セキュリティ監査やシステム監査では、助言型監査に加え、保証型監査があるといわれています。監査といえば保証なのですが、保証ができないところがほとんどであろうということで助言もいれています。助言型監査は保証ができないので、検証手続を実施した範囲で見つけた不備(検出事項)を羅列するものです。その不備(検出事項)を改善するための方向性を提言する場合もあります。
で、情報セキュリティ監査では、保証型監査の検討が進められているわけですが、、、
こんにちは、丸山満彦です。SECに登録している日本企業の20-Fです。
【参考】このブログ
・2006.10.02 SECに登録している日本企業の20-F Item15 (2)
・2006.08.11 SECに登録している日本企業の20-F Item15
こんにちは、丸山満彦です。NECが「米国会計基準による過年度財務諸表およびADRのNASDAQ取引について」を発表していますね。2006年3月期の監査が終了しないために、NASDAQが要求している期限までに同年度の20-Fを提出できないと断念したそうです。その結果、NASDAQがNECのADRの上場を廃止するかも・・・ということのようです。。。
こんにちは、丸山満彦です。監査役協会が「会社法施行に伴う監査役スタッフの業務の見直し-内部統制システム監査を主として(最終報告)-」を公表していますね。。。
こんにちは、丸山満彦です。会計・監査ジャーナルの10月号では、「シリーズ内部統制/座談会 公開草案の主要ポイントを総括 公開草案「財務報告に係る内部統制の監査に関する実務上の取扱い」をめぐって」という記事が載っていますが、これは面白いです。
座談会のメンバーは、日本公認会計士協会の前監査担当常務理事、監査・保証実務委員会内部統制検討専門委員会委員長、内部統制検討専門委員会監査実務小委員会委員長及び委員という面々でございます。その中で、ダイレクト・レポーティングに触れた部分があるわけですが、そこがなかなか面白いです。
こんにちは、丸山満彦です。うーん、こういう質問がくるとちょっと困るんですが・・・
こんにちは、丸山満彦です。情報セキュリティの世界では、これから格付けを行おうという話がもりあがりつつあるようですが、金融市場においては、米国のサブプライムローン問題の件もあって、格付機関に対する規制が強化されるような動きもあるようですね。。。
こんにちは、丸山満彦です。みなさんに質問です。。。持分法適用会社が粉飾決算を行った結果、報告会社の決算書の当期純利益が異なることになる場合に、当該粉飾決算が行われていることを知らなかった報告会社の経営者は、報告会社の財務諸表に記載誤りがあるとして責任を取らなければならないのでしょうか?
こんにちは、丸山満彦です。生きています。。。政治団体の収支報告書の記載誤りがあったということで何かと話題になっています。「誤記であれば進退問題にあたらない」という発言もありますが、会計監査の場合は、不正でも誤謬でも重要な虚偽の表示を看過してはならないです。。。
こんにちは、丸山満彦です。1ヶ月ほど前の話ですが・・・会計検査院が「検査報告等に関する財務上の是正改善効果(18年試算)について」を公表していますね。。。それによると、会計検査院の検査による是正効果は、1,131億円だそうです。。。
こんにちは、丸山満彦です。ISACAから、 IT Assurance Framework (ITAF) のドラフトが公開されています。監査基準と監査ガイドラインのようなものです。日本でも、経済産業省が作成にかかわった、システム監査基準や情報セキュリティ監査基準がありますが、さらに詳細なガイダンスも含まれています。。。
こんにちは、丸山満彦です。日本監査役協会が、「監査役/監査委員スタッフの現状と意識調査」を公表していますね。。。早速、監査役スタッフ不要論者の山口先生がブログ(ビジネス法務の部屋)で取り上げていますね。。。
こんにちは、丸山満彦です。ここのところ忙しくて更新が滞っていましたが、元気にしております。。。さて、金融庁が、「証券取引法等の一部を改正する法律の施行等に伴う関係ガイドライン(案)」を公表していますね。「財務計算に関する書類その他の情報の適正性を確保するための体制に関する内閣府令」の取扱いに関する留意事項について(内部統制府令ガイドライン)案も公表されていますね。。。
こんにちは、丸山満彦です。全社的な内部統制が有効かどうかを評価して、業務プロセスに係る内部統制を評価しなければならないのですが、具体的にどのような場合に全社的な内部統制が有効であるかと判断するのは難しい場合が多いと思うのですが、みなさんはどう思っておられますか???
たとえば、「ITへの対応」について考えた場合、実施基準の参考1に記載している項目を例に考えるとどうなるのでしょうかね。。。
こんにちは、丸山満彦です。金融庁が「平成19検査事務年度検査基本方針及び検査基本計画」を公表していますね。。。今年はリスク管理が中心となるようですね。。。
=====
法令等遵守態勢及びリスクカテゴリー毎の主体的な内部管理態勢の整備状況に配意するとともに、金融機関全体を貫く経営管理(ガバナンス)態勢が有効に機能しているかという点に重点を置いて検証する。
=====
ということのようですね。。。
こんにちは、丸山満彦です。企業会計基準委員会と国際会計基準審議会が2011年までに会計基準のコンバージェンスを達成する「東京合意」を公表しましたね。。。
重要な話ですね。。。
こんにちは、丸山満彦です。決算・財務報告プロセスは重要な内部統制ですので、実施基準でも僅少でない限り経営者評価の対象となりますね。ところで、子会社の決算プロセスでは、一般に会計システムが利用されていると思います。会計システムには自動処理やIT業務処理統制も含まれていますね。。。
となると、影響が僅少ではない子会社の決算・財務報告プロセスにかかるIT全般統制はすべて評価しなければならないのか?という問題がありますね。
こんにちは、丸山満彦です。たまたま、見つけました。カナダのウェブページにJ-SOXの話が載っていました。。。IT関係のウェブなので、「ITへの対応」が内部統制の基本的要素となっていることが話題になっていますね。。。
こんにちは、丸山満彦です。
●本件に関して提出いただいたご意見等(約3,500項目に整理しております。)の概要及びそれに対する金融庁の考え方(PDF:4,753K)
の具体的内容です。。。
こんにちは、丸山満彦です。金融庁が2007.07.31に【「金融商品取引法制に関する政令案・内閣府令案等」に対するパブリックコメントの結果等について】を公表していますね。意見とその意見への対応も参考になりますね。。。(全体で700ページほどですが、内部統制報告書に関する部分は、そんなに多くないです。)
こんにちは、丸山満彦です。先日、大阪で監査をしている人に「内部統制報告書の監査って、経営者評価手続きをする前に監査手続きはできへんよな。。。」という話をしたら
こんにちは、丸山満彦です。米国の内部統制監査の新しい基準となるAS5がSECに承認されたようですね。。。
こんにちは、丸山満彦です。ココログのメンテナンスがおわったので、こちらにも・・・。
2007.03.14のまるちゃんのブログに書いたとおり、COBIT4.0の日本語版が公表されています。実は翻訳に単純なミスがありました。。。すみません。
こんにちは、丸山満彦です。2007.07.21の日経新聞朝刊1面に、監査法人の選任権・報酬決定権を監査役に与えるように会社法を改正する考えを法務省がもっているという記事がありましたね。。。
今は、取締役会で監査法人を選任することになっているのですが、監査役に与えるほうが経営者からの独立性は高まりますね。。。
新聞記事によると来年度の国会に改正案の提出を目指すということのようです。。。
こんにちは、丸山満彦です。日本内部監査協会のCIAフォーラム研究会が「~米国SOX 法404 条の教訓を踏まえた~JSOX への対応アプローチ」を公表していますね。英国、カナダ等の各国での内部統制評価制度の導入の可否、米国でのPCAOB2号から5号への変更時の検討内容等をよく整理した上で、JSOXの対応についての検討を行っている点で非常に興味深い報告書となっています。
こんにちは、丸山満彦です。日本公認会計士協会が、「財務報告に係る内部統制の監査に関する実務上の取扱い」の公開草案を公開し、意見募集をしていますね。。。
こんにちは、丸山満彦です。循環取引による売上高の過大計上等の不適切な会計処理を長期間発見できなかったことは社内管理体制の重大な不備に起因するということで、東証はその経緯及び改善措置についての報告書の提出を加ト吉に求めていたわけですが、加ト吉から提出された改善報告書が東証のウェブページに掲載されていますね。。。
こんにちは、丸山満彦です。最近、複数の監査法人の方とお話できる機会がありました。で、表題の件です。米国では内部統制監査について、
(1)内部統制報告書の適正性と
(2)内部統制の有効性
についての意見を述べるという方法から、企業の負担を軽減するために
(2)内部統制の有効性
についての意見を述べるだけにするという方法に変更しましたね。。。
一方、日本の場合は、経営者負担を少なくすると言う観点から
(1)内部統制報告書の適正性
について意見を述べることになったわけですが、
現場感覚としては、米国の方法のほうが経営者の負担が減るんじゃないのという意見が圧倒的ですね。というか、私が聞いた数名の人は全部そうでした。。。
こんにちは、丸山満彦です。先日の日経の一面の記事について、「2007.06.30 迷走 財務報告に係る内部統制の評価及び監査の制度 実施前に制度改革?」を書いたのですが、複数のヒトからの話によると、ちょっと行き過ぎた報道かも知れないという感じですね。。。
こんにちは、丸山満彦です。金融庁の公認会計士・監査審査会 は「3大監査法人の業務改善状況について」を公表していますね。平成18事務年度の審査基本計画及び検査基本計画に基づき、3大監査法人の業務改善状況について検査を実施し、その結果を「3大監査法人の業務改善状況について」として取りまとめたもののようですね。。。
こんにちは、丸山満彦です。国会運営も迷走していると言われているようですが、内部統制の制度も制度実施前に緩和策が打ち出されるという記事が今朝の日経新聞の一面にありましたね。。。
こんにちは、丸山満彦です。ニューメディア協会からISMS認証取得事業所の実態調査の結果が公表されていますね。。。これは非常に興味深いです。。。
ISMS認証取得事業者で、情報セキュリティがなかなか根付かないという話があるのですが、このような状況がISMS認証取得事業者全体の問題か、それとも特定の企業の問題であるのか・・はよくわからないので、ISMS認証取得及び運用に関して課題があるのか、あるならそれは何かを把握するために調査を行ったようです。。。
こんにちは、丸山満彦です。2007.06.18の日経ビジネスの特集が「粉飾連鎖 彼らはこうして闇に落ちた」ですが、その中に「会計士が落ちた罠 中央青山幹部の告白」というのがあります。興味深いですね。。。
とくに「会計士を骨抜きにする4つの殺し文句」というのは、切羽つまった会社が言ってもおかしくないような感じですが・・・。
こんにちは、丸山満彦です。総務省より、「地方公共団体における情報セキュリティ監査に関するガイドライン」(案)に対する意見募集が行われていますね。。。975項目あった監査項目が317項目に簡素化されたようですね。。。
こんにちは、丸山満彦です。日本セキュリティ監査協会(JASA)が、保証型監査概念フレームワークを公表していますね。。。
従来の会計監査における監査論などを理解している人から見れば、つっこみどころ満載ですが、新しい監査を指向しているということで、従来の監査論の枠組みから離れてみてやってくださいませ。。。
こんにちは、丸山満彦です。裁判員制度が始まるのを前に模擬裁判が行われたようですが。。。専門用語などで苦労しそうですね。。。でも、本当に苦労するのは心証形成ではないかと思ったわけです。。。
これって、内部統制の評価及び監査制度とも類似の構造があるように思いました。内部統制が有効であるかどうかを判断する場合の心証形成って監査人よりも経営者のほうがもっと難しく感じるでしょうね。。。
こんにちは、丸山満彦です。環境省と日本公認会計士協会が連名で、「CSR情報審査に関する研究報告」を公表していますね。
CSR報告書の意見区分に興味がいきますね。。。
こんにちは、丸山満彦です。会計制度監視機構から「独立性の高い監査を実現するために―監査役と監査法人のあり方について」という提言が行われております。監査法人の独立性に関するものでして、監査報酬を監査をうける経営者と監査法人との間で決めているが、これが監査意見に影響しているのではないか・・・ということのようです。そこで、例えば、監査役が監査報酬を決定する権限をもてばよいのでは・・・という提言等がなされていますね。。。
こんにちは、丸山満彦です。昨日に引き続き会計検査院の報告書から・・・
財務報告に係る内部統制の評価及び監査の制度の導入にむけて内部監査が注目を集めていますね。米国連邦政府のように、各府省庁における内部監査制度も必要じゃないのかなぁ・・・と思いながらいろいろと調べていたので
Recent Comments