内部統制の評価方法

内部統制の評価方法は、経営者がそれぞれの会社の状況等に応じて適切に工夫して決定するものであり、監査人は、経営者の評価結果を利用する場合を除き、経営者の評価方法を具体的に検証する必要はない。

内部統制の不備が開示すべき重要な不備に該当するか否かは、実際に発生した虚偽記載の影響でなく、潜在的に重要な虚偽記載の発生を防止又は適時に発見できない可能性がどの程度あるかによって判断される。

Source:

もっとみる

○近刊書籍:法務(2020年10月)○

<Index>
1. 「企業法務におけるナレッジ・マネジメント」
2. 「中小上場会社の内部統制(仮)」
3. 「説得力が劇的に上がる 法務の文書・資料作成術!」
4. 「ゼロからわかる電子契約の実務」
5. 「電子契約導入ガイドブック[海外契約編]」
6. 「個人情報越境移転の法務」
7. 「医薬・ヘルスケアの法務〔第2版〕 規制・知財・コーポレートのナビゲーション」
8. 「新・不正競争防止法

もっとみる
「スキ」いただき、ありがとうございます!
3

内部統制の評価

内部統制の評価方法は、経営者がそれぞれの会社の状況に応じて適切に工夫して決定するものであり、監査人は、経営者の評価結果を利用する場合を除き、経営者の評価方法を具体的に検証する必要はない。

一方で、内部統制の不備が開示すべき重要な不備に該当するか否かは、実際に発生した虚偽記載の影響でなく、潜在的に重要な虚偽記載の発生を防止又は適時に発見できない可能性がどの程度あるかによって判断される。

Sour

もっとみる

【システム監査】業務分掌とシステム上のアクセス権限の一致は「過大な権限」に着目して確認する。

監査人がシステム上のアクセス権限設定を確認する際、業務分掌との一致を確認します。
「過大な権限」は監査での指摘事項となりますが、「過小な権限」は指摘する必要はありません。
ある会社で、「社長」に会計システム上のあらゆる権限を付与している会社がありました。担当者によると、「社長は全ての権限があるから」とのことでした。確かに金額の大きな投資案件は取締役会や経営会議等で決裁するという考えからきているかも

もっとみる
ありがとうございます。
1

業界が違っても基本は同じ

ボルドリッジ・エクセレンス・フレームワークは、一般企業のみならず、行政機関や非営利組織、病院や学校など、すべての組織を対象にしています。ボルドリッジ・エクセレンス・フレームワークは業界によって3つの冊子に分かれています。

ちょっと不思議な分け方ですが、次の3つです。
・一般企業/非営利組織編(Business/Nonprofit)
・教育機関編(Education)
・医療機関編(Health

もっとみる
興味を持っていただきありがとうございます。
2

【情報セキュリティ】入社時の秘密保持に関する誓約書は取得していますか。

新入社員(中途入社社員含む)から秘密保持に関する誓約書は取得しているでしょうか。
入社手続きの一環として情報セキュリティ教育を実施した上で誓約書を取得することが望ましいです。
転職が過去に比べて一般的になってきた近年は、転職元等の他の組織で取得した秘密情報持ち込み等についても留意する必要があります。
そのため、誓約書には「第三者が保有するあらゆる秘密情報を持ち込まない」の一文を入れておくのが望まれ

もっとみる
ありがとうございます。

【情報セキュリティ】パスワードをメモしてはいけないと言うけれど。。。

「覚えなければいけないパスワードが多すぎる、だから手帳にメモしているのですよねー」と言われることがしばしばあります。
「私(監査人)の前でそれは言わないでくださいよ…」と思います…(笑)。
また、「私物の手帳まではチェックしないのですから、それは黙っておいてくださいよ…」とも思います。

基本的にはパスワードのメモは駄目ですね。また、多くの会社では情報セキュリティ規程・情報セキュリティポリシといっ

もっとみる
ありがとうございます。

【情報セキュリティ】情報セキュリティ管理体制図作成のポイント

情報セキュリティ規程を定めるとともに、「情報セキュリティ管理体制図」を作成する会社は多いと思います。作成にあたってのポイントですが、①体制図が適切なレベルの上級管理職によって承認されていること、②各部門に情報セキュリティ管理者・担当者が配置されていること、③管理者・担当者の役割と責任が明確であること、と考えます。

私が実務上最も大事だと考えているのは、「ネットワーク切断可否の判断を誰が行えるのか

もっとみる
ありがとうございます。
1

【システム監査】データ直接修正はきちんとバックアップを取ってから行う

データの直接修正(一般ユーザ用のアプリケーションを使用せずにシステム担当者がアプリケーション以外の方法でデータを修正すること等)については、J-SOXでも重要視されていることから、「ユーザ部門からの依頼(担当者起票・責任者承認)に基づき、システム部門が実施し、ユーザ部門が結果を確認する」といった手続きが整備されている会社も多いと思います。

一方、システム部門内での手続きを監査で確認しますと、「デ

もっとみる
ありがとうございます。
1

ユーザ自らがパスワードを変更できないシステムについて(2)

ユーザ自らがパスワードを変更できないシステムがあった場合、監査人としてはどのように助言すればよいでしょうか。最も良いのは、「ユーザ自らがパスワードを変更できる機能を実装する」ように助言することです。

しかし、「相応の費用がかかる。」や「システム更新を予定しており、今更費用をかけて実装できない。」という意見も多く聞きます。
その場合は代替案を検討します。例えば、
1 ユーザにシステム部門に出向いて

もっとみる
ありがとうございます。