経済産業省 パブコメ 「ITサービス継続ガイドライン(案)」
こんにちは、丸山満彦です。経済産業省が「ITサービス継続ガイドライン(案)」に対する意見募集を行っていますね。。。
2008.07.03
2008.07.02
結局、不備は3つに分けたほうが合理的ですよ。。。それははじめからわかっていることなんです。。。
こんにちは、丸山満彦です。不備の話です。。。山口先生は、
=====
私の理解としましては、内部統制の有効性判断基準を提供する、という実益のために「重要な欠陥」と「不備」との区別は不可欠、また監査人の報告必要性の判断基準を提供するという実益および集計することによって「重要な欠陥」と総合評価する単元と判断する実益のために「不備」と「そこまで至らない不備」との区別は不可欠、しかし「そこまで至らない不備」と「不備なし」とは何ら区別する実益はないわけですから、「そこまで至らない不備」も「不備なし」と同等に評価してもよいのではないでしょうか。こう考えますと、結局のところ日本の場合は不備を二つに区分する、といった前提となんら矛盾はないことになります。
=====
と書かれていますが、実務ではやはり3つにわけたほうが合理的なんです。。。
2008.06.29
質問:結局内部統制の不備を3つに分けとるやんけ。。。
こんにちは、丸山満彦です。。。評価・監査に係るコスト負担が過大なものとならないよう、先行して制度が導入された米国における運用の状況等も検証し、内部統制の不備を、米国とは異なり、財務報告に与える影響に応じ「重要な欠陥」と「不備」の2つに区分することとしたわけです。これって、「米国と違ってコストに配慮しましたよ」という6つの理由の2番目なんですが、Q&Aを読んでいたら、結局不備を3つに分けとるやんけということに気づきました。。。
みなさん、そう思いませんか?
2008.06.26
質問:そもそも持分法適用会社の内部統制って、親会社ではないけど大株主である企業から見た場合の内部統制ですか?
こんにちは、丸山満彦です。仕事が忙しいので、Q&Aもろくに読めていません。。。でもQ21【関連会社における評価】というのを読むにつけ、持分法適用会社を内部統制の評価に加えたというのは論理矛盾を引き起こしていないかなぁ・・・と思うわけです。。。
2008.06.24
SEC Approves One-Year Extension for Small Businesses From Auditor Attestation Requirement in Sarbanes-Oxley Act
こんにちは、丸山満彦です。米国では小規模会社に対するSOX法404条(b)(独立監査人による監査)の適用が1年延長されたようですね。。。
コスト効果分析を実施してみて1年延長したようですから、小規模会社に対して内部統制報告制度のうち監査を適用することは「コスト>効果」ということになるのでしょうかね。。。
米国ではすでに404条が適用されてから数年が経ち、内部統制の監査の基準もAS5に改定され、SECによる経営者評価のガイドラインもでたので過剰反応も収まっていると思います。それでもなお、小規模会社への適用が延長されたわけですね。。。
2008.06.19
情報システム監査の実施状況 <= 監査白書
こんにちは、丸山満彦です。日本内部監査協会が監査白書2007という内部監査実施状況をまとめた白書を作成しております。いろいろな意味で大変参考になります。。。
3年に一度の調査?で経年変化もある程度みれます。内部統制報告制度が始まる前の状況とはいえますが。。。
ということで、今回はそこから情報システム監査の実施状況についてちょっと・・・
2008.06.18
EDPシステムの監査基準および監査手続試案
こんにちは、丸山満彦です。EDPって懐かしい響きですね。。。EDPはElectronic Data Processingを省略したものです。。。で、表題の報告書は、日本公認会計士協会が1976年、昭和51年9月14日にまとめたものです。
内容的には今とあまり変わっていませんね。。。
2008.06.14
経営者評価とは関係なく監査人が独自にサンプリングをし内部統制の有効性を評価する?
こんにちは、丸山満彦です。昨日は都内でafter-JSOXシンポジウムで基調講演をさせていただきました。朝1番から700名を超える方が参加されたそうで大変な盛況でした。ありがとうございました。私の話は単純で、米国で起こったことをほぼそのまま伝えたようなものでして、つまり、
(1)制度対応を効率的にしていきましょう。
(2)制度対応に伴って構築した社内基盤を活かして財務報告の信頼性目的以外の目的も達成できるようにしましょう。
ということです。。。
まぁ、今回の制度は国内外の投資家(多くは富裕層ですよね。。。)を保護しよう。。。という制度で経営者も従業員も余りモチベーションが上がらないかもしれませんが、上場企業グループで働いている以上仕方がないと割り切ってがんばって対応しましょう。
さてさて、このシンポジウムで次のような話がでていたので、ちょっとご紹介・・・。
監査法人の中には、基本的には経営者評価に依拠をせずに監査人が直接サンプリング等を実施し、内部統制の有効性を直接評価するように考えているところがあるようですね。。。
この場合、現場に対しては経営者評価のための例えば内部監査人によるサンプルテストと、監査法人によるサンプルテストの二つの対応が必要となるので、現場ではちょっと大変かもしれませんね。。。
2008.06.13
JNSA 内部統制におけるアイデンティティ管理解説書
こんにちは、丸山満彦です。JNSAから「内部統制におけるアイデンティティ管理解説書」が公開されましたね。。。
ベンダーであるCA、HP、IBM、Oracle等が協力しているところもすばらしいですが、SIerも加わって作ったところがよいでしょうね。。。
ID管理の歴史なんかから始まっていて、おもしろそうですね。。。
2008.06.12
COSO ED Guidance on Monitoring Internal Control Systems
こんにちは、丸山満彦です。COSOがGuidance on Monitoring Internal Control Systemsの公開草案を公表していますね。。。締め切りは8月15日、秋には確定版ができるような感じですね。。。
目的は
=====
・ To help organizations improve the effectiveness and efficiency of their internal control1 systems..
・ To provide practical guidance that illustrates how monitoring can be incorporated into an organization’s internal control processes.
=====
ということのようですね。。。
フレームワークは
=====
Establish a Foundation
> Tone from the top
> Organizational structure
> Baseline understanding of internal control effectiveness
Design & Execute
> Prioritize risks
> Identify controls
> Identify persuasive information about controls
> Implement monitoring procedures
Assess & Report
> Prioritize findings
> Report results to the appropriate level
> Follow up on corrective action
=====
監査に関係する団体がいくつかあるので、COSOのこの報告書はきになるところでしょうね。。。
ロジカルに整理されすぎると、重装備になる可能性もありますかね。。。
2008.06.11
IIA 政府機関等内部監査研究会
こんにちは、丸山満彦です。日本内部監査協会で「政府機関等内部監査研究会」というのが開催されるようですね。。。
=====
・・・近年、政府機関その他公共部門(以下「政府機関等」)では深刻な不祥事が頻発しているが、未だ包括的な再発防止策は確立されていない。
民間企業では、不祥事防止策として、ガバナンス・リスクマネジメント・コントロールの有効性の評価・改善を対象とするアシュアランス及びコンサルティング活動である内部監査の有効性が広く認知されている。この内部監査は政府機関等が直面する諸問題に対しても一定の役立ちを果たしうるものと考えられる。
当研究会では、関連するIIAのガイダンスと諸外国の動向を踏まえ、かつ政府機関等の民間企業に対するユニークな特性及び各組織の多様性に十分留意した上で、この領域で内部監査が果たしうる潜在的役割を識別し、その能力を十分に引き出すために充足すべき条件を探る。併せて、検討結果を有効に実現しうる方策を検討する。
=====
となっていますが・・・
2008.06.08
ITGI/ISACA CobiT4.1日本語版を公表
こんにちは、丸山満彦です。。。COBIT4.1の日本語版がダウンロードできるようになっていますね。。。かかわっているにもかかわらず花田先生のブログを見て気づくという・・・だめだめですね。。。
2008.05.26
投資家のみなさま・・・内部統制が有効であるかどうかの情報ってどれほど投資判断に重要なんでしょうか?
こんにちは、丸山満彦です。いまさらなんですが、財務諸表の情報って投資判断に重要というのはわかるのですが、内部統制が有効かどうかってどの程度投資判断に重要なんでしょうか?
2008.05.22
経済産業省 IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデルの公開について
こんにちは、丸山満彦です。経済産業省が「IT統制のための財務会計パッケージソフトウェア向けプロテクションプロファイルモデル」を公開していますね。。。
こういう発想って重要だと思いますよ。。。いままでの監査って、専門家の判断によりすぎているような気がするんですよね。。。構造的に分析する必要があるのではと思っています。
コンテンツの是非も重要なのですが、考え方(発想)について考えてほしいです(=>監査関係者)
で、とくに重要なことは、前提条件っていうのがあるということですね。例えば、社長は粉飾をしようという意図はないとか。。。
だから、以下のコントロールがあれば、財務報告は適切になると・・・前提条件が偽であれば、その後はあまり関係ないということになります。。。
2008.04.24
10億円の横領・・・
こんにちは、丸山満彦です。茨城県国民健康保険団体連合会で数年間にわたり国民健康保険料約10億円?が着服されたことが発覚しました。青森住宅公社で14億円横領というのがありましたが、10億円の着服がわからないという事件ってね。。。
・2008.04.23 職員による公金着服不祥事の記者会見の原文
2008.04.17
公認会計士協会 内部統制報告制度相談・照会窓口の設置
こんにちは、丸山満彦です。金融庁、日本公認会計士協会、(社)日本経済団体連合会の3団体が、共同で「内部統制報告制度相談・照会窓口」を設置するようですね。。。
2008.04.14
総務省 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)の公表
こんにちは、丸山満彦です。総務省が 「地方公共団体における内部統制のあり方に関する研究会」における中間報告(論点整理)を公表していますね。。。
2008.04.11
財務報告に係る内部統制に重大な欠陥がある場合、会社法上の取締役の任務懈怠責任はどうなるの?
こんにちは、丸山満彦です。内部統制システムの基本方針で「適切な内部統制を構築する」と取締役会で決議している場合に、財務報告に係る内部統制に重要な欠陥がある場合は、取締役の任務懈怠にならないの???ってな話を酔っ払いながらとある先輩会計士が話をしていました。。。
2008.04.04
監査役協会 「財務報告内部統制報告制度」に関するアンケート調査結果(2)監査意見の予想?
こんにちは、丸山満彦です。監査役協会の「財務報告内部統制報告制度」に関するアンケート調査結果の速報版の調査結果を見る限り、8社に1社程度は適用初年度に「内部統制に重要な欠陥がある」と意見表明するかも・・・と思っているようです。
評価ができないよりもよいですよね。。。
【監査役協会】
・2008.04.04 「有識者懇談会の設置」、「「財務報告内部統制報告制度」に関するインターネット・アンケートの調査結果」等について記者会見を開きました
・・「財務報告に係る内部統制報告制度」に関するインターネット・アンケート調査結果[速報]
監査役協会 「財務報告内部統制報告制度」に関するアンケート調査結果
こんにちは、丸山満彦です。山口先生のブログで知ったのですが、、、監査役協会が、「財務報告内部統制報告制度」に関するアンケート調査結果の速報版を公開していますね。。。調査結果を見る限り、新興市場の会社はその他の市場の会社よりも内部統制報告制度への取り組みが遅れている感じですね。。。
【監査役協会】
・2008.04.04 「有識者懇談会の設置」、「「財務報告内部統制報告制度」に関するインターネット・アンケートの調査結果」等について記者会見を開きました
・・「財務報告に係る内部統制報告制度」に関するインターネット・アンケート調査結果[速報]
ちなみに、山口先生のブログでは、大阪本社の企業向けの株主総会想定悶答があります。。。
2008.03.31
人間はめったにおこらないことの確率を正確に見積もれないらしい。。。
こんにちは、丸山満彦です。ニュートンという科学雑誌があります。
●http://www.newtonpress.co.jp/science/newton/
環境問題から宇宙の問題(たとえば、ブラックホール)や量子力学の話やいろいろと面白い記事があります。先月発売の4月号に
=====
人はなぜ確率に弱いのか?
直感と計算の「ズレ」にせまる
協力 今野紀雄/友野典男
=====
という記事がありましたので紹介します。こ記事では、確率に対して人の直感というのはかなりいい加減であるということが書かれています。特にめったに起こらないことについて、人間の脳は正確に見積もれないのかもしれないそうです。
内部統制のミス、それによって引き起こされる財務諸表の重要な虚偽記載というのも、確率的にいえばめったに起こらないことですよね。。。そもそも運用テストのサンプルを25件にするのも、ミスはめったに起こらないという前提の上に成り立っていますし。。。
であれば、内部統制報告制度って、生理学的に成り立たない制度なんじゃないかと思いませんか(笑)。
たとえば、こんな問題が紹介されています。
ジャンボ宝くじの1等が当たる確率と、1年間で交通事故死する確率はどちらが高いだろうか?
みなさんも人間の脳が正確に見積もれないことを実感し、制度の矛盾も実感してみてください(笑)。
2008.03.28
公認会計士協会 「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」
こんにちは、丸山満彦です。日本公認会計士協会が、「IT委員会研究報告第31号「IT委員会報告第3号「財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q&A」の一部改正について」を公表していますね。。。長い題ですね。。。
=====
本研究報告は、IT委員会報告第3号の一部改正に合わせて、平成18年3月17日に公表したものです。今般、昨今のITに係る財務諸表監査を取り巻く環境の変化に伴い、会員が実務上必要と思われる例示及び留意点を新たに追加し、公表することとしました。
今後、ますます重要性が高まるであろうIT監査理解のため、本研究報告にお目通しいただければと思います。
=====
公認会計士向けです。。。一応。。。
質問 財務報告に係る統制環境だけを抜き出して評価できるか?
こんにちは、丸山満彦です。金融商品取引法対応では、内部統制の4つの目的のうち、財務報告の信頼性に関係する部分、つまり財務報告に係る内部統制を評価することになりますよね。。。そこで、
=====
内部統制を全部評価する必要はない、財務報告に係る内部統制だけを評価すればいいんだ。
=====
とよく言われます。そのとおりなのですが、例えば、
=====
成分偽装が行われていることを知っていながら、売上高が減るのでそれを是正しようとしなかった経営者がいる企業において、財務報告に係る内部統制は成分偽装とは関係ないので問題ない。統制環境は有効である。
=====
と評価できるのでしょうか?
2008.03.26
監査法人トーマツ 企業の内部統制報告制度への対応状況を調査
こんにちは、丸山満彦です。監査法人トーマツが、「企業の内部統制報告制度への対応状況を調査」を公表していますね。。。昨年の調査から比べると対応が進捗しているようですね。。。
=====
上場区分別に見ると東証・大証1部、2部企業では「評価実施」段階が最多で、新興市場企業ではその手前の「文書化実施」段階が多かった。
=====
東証等の上場企業では中心は「評価実施」段階ですね。。。
2008.03.23
本:統制環境読本 「脱文書化3点セット」で内部統制が変わる!会社が変わる!
こんにちは、丸山満彦です。仲間と本を書きました。(はずかしいので、秘密にしていたのですが・・・)
●統制環境読本 「脱文書化3点セット」で内部統制が変わる!会社が変わる!
専門書ではなく、息抜きの本です。「脱文書化3点セット」というくらいですので、いわゆるJ-SOXの対応マニュアル本ではありません。ご参考に・・・
2008.03.22
経団連 企業倫理への取組みに関するアンケート調査結果
こんにちは、丸山満彦です。経団連が「企業倫理への取組みに関するアンケート調査結果」を公表していましたね。。。
=====
経営理念の基本的な精神や価値観を踏まえて、その時々の社会的要請に応えた自社の姿勢や行動原則を示した「行動憲章」を制定している企業は、2003 年には79.1%、2005 年には83.0%だったが、今回の調査では97.8%(580 社)となった。
さらに、行動憲章を企業行動全般に反映させるために「行動指針」「就業規則」「業務マニュアル」等に落とし込んでいる企業は97.6%(579 社)となっている。社内横断的取組体制の整備、企業倫理ヘルプラインの設置、教育・研修制度の構築も含め、企業倫理に取り組むための体制整備は進展した。
企業倫理徹底の取組み範囲については、自社のみとする企業は16.9%(100 社)となっており、81.3%(482 社)では国内外の連結会社や主要関係会社にも運用を広げている。また、購買方針に反映させている企業も78.2%(464 社)ある。
=====
どうやら、ほとんどの大企業では形(体制)は整備されているようですね。。。
2008.03.21
2008.03.17
米国では原則ベースの基準に移行しようとしたのに、日本では手続ベースの基準をどうしてつくろうとしたのかなぁ・・・
こんにちは、丸山満彦です。内部統制報告制度の導入を巡り、若干の混乱が生じているようですが(金融庁が11の誤解をだすような状況ですので・・・)、この混乱の原因をちゃんと正直に見極めることが重要なんでしょうね。。。反省がないところに、改善はありませんので・・・
ひとつは、やはり内部統制の基準(実施基準も含む)が評価をするという観点からはよくないのではないかと思っています。そもそもCOSOの内部統制報告書は内部統制を評価するための基準(つまりクライテリア)ではなかったのだろうと思います(カナダ勅許会計士協会が策定したCoCoではその点に触れています)。にもかかわらず、米国ではCOSOを判断基準として導入をしました。それが混乱の元になったのではないかと思います。COSOはその点はちゃんと理解していたと思います。中小企業向けのCOSOでは、評価を意識して、原則を書いています。この原則が非常に重要なんですよね。。。原則を実現できれば、そのための手続はどうでもいいわけです。手続ベースであれば、手続をちゃんとしなければなりません。どのような状況であっても特定の手続を実施することが、原則を実現するための最適な手続であれば、その特定の手続の実施をすることが意味があるのですが、必ずしも特定の手続の実施が、原則を実現するための最適解でない場合にストレスを感じることになります。
日本の基準では、米国の混乱を気にして、基準でやり方(手続や具体的な判断基準)を決めることで(例えば、勘定科目を決めるとか・・・)悩まずにできるようになり混乱が減ると考えたのかもしれませんが、原則を明確にせずにこのような具体的な手続や判断基準を決めたところがよくなかったのか・・・という気もします。
2008.03.13
JIPDEC 「IT統制に関する実態調査」等 集計結果を公表
こんにちは、丸山満彦です。
=====
内部統制報告制度に伴うIT統制の状況について、上場企業の情報システム部門および情報サービス事業者に対し、「IT統制に関する実態調査」等4種類のアンケート調査を実施しました。
この度、単純集計結果を取りまとめましたのでお知らせいたします。
=====
ということです。。。
内部統制報告制度対応への取り組みの中で、システム部門としてどのような問題点を経験しましたか?という質問事項がありまして・・・
情報セキュリティポリシー・基準・規定の大幅な見直しが必要となった。というところが過半数あるようですね。。。
あと、情報システムの運用等を外部委託している場合に、SAS70や18号報告書を入手しようと考えているところが12%(56社)あるようです。。。
2008.03.11
金融庁 「内部統制報告制度に関する11の誤解」を公表
こんにちは、丸山満彦です。
=====
しかしながら、実務の現場では、一部に過度に保守的な対応が行われているとも言われております。金融庁では、そうした指摘も踏まえ「内部統制報告制度に関する11の誤解」を公表し、改めて制度の意図を説明することといたしました。
また、併せて、内部統制報告制度の円滑な実施に向けた行政の対応を公表することとしました。
=====
改めて制度の・・・ということですね。。。
2008.03.01
監査法人の内部統制の重要な欠陥の事例集???
こんにちは、丸山満彦です。金融庁の公認会計士・監査審議会、通称CPAAOB(Certified Public Accountants and Auditing Oversight Board )が、「監査の品質管理に関する検査指摘事例集」を公表しています。全社的な内部統制の構築の際の目安になるかもしれませんね。。。
2008.02.28
「事業拠点」の定義は?
こんにちは、丸山満彦です。内部統制の評価範囲を決める場合に、日本の基準では、「決算・財務報告に係る業務プロセスのうち、全社的な観点で評価することが適切と考えられる」業務プロセス以外の業務プロセスの評価については、「企業が複数の事業拠点を有する場合には、評価対象とする事業拠点を売上高等の重要性により決定する」ことが義務付けられていますね。。。
そこで問題となるのが、事業拠点とは何か?ということです。この用語の定義が不明確だと、問題となりますね。。。
「こういう要件がそろわないと事業拠点としては認められない」とか主張されると困るわけですよね。。。
だって、実施基準では、「本社を含む各事業拠点の売上高等の金額の高い拠点から合算していき、連結ベースの売上高等の一定の割合に達している事業拠点を評価の対象とする」と書かれていて、監査人は、経営者が決定した「評価範囲」の適切性についても意見を言わなければならないからです。。。
英語のBusiness Unitを翻訳したものだとおもいますが・・・
2008.02.25
どんと来い、リスクマネジメント
こんにちは、丸山満彦です。昨年11月に「@nfityビジネス」で開始した「どんと来い、リスクマネジメント」ですが、すでに12回も書いています。。。
右の「タイトルバー」にもリンクを張りました。これからもよろしくお願いします。
2008.02.24
全社的な内部統制に不備がある場合で、業務プロセスに係る内部統制がそれを補完する場合の例
こんにちは、丸山満彦です。実施基準のP41には、
=====
経営者は、全社的な内部統制の評価結果を踏まえて、業務プロセスに係る内部統制の評価の範囲、方法等を決定する。例えば、全社的な内部統制の評価結果が有効でない場合には、当該内部統制の影響を受ける業務プロセスに係る内部統制の評価について、評価範囲の拡大や評価手続を追加するなどの措置が必要となる。
=====
とあるのですが、具体的に、
(1)どのような全社的な内部統制が有効でない場合に
(2)どのような業務プロセスに係る内部統制が有効であれば、
全体としての内部統制が有効であるといえるのか?
ひとつでもよいので具体例を教えていただきたい。。。といわれたら、あなたは何を例としてあげますか・・・
Recent Comments