富士通で個人情報漏洩の恐れ、業務PCのマルウエア感染で「ファイル持ち出せる状態」 2024.03.15
「IT全般統制」のレベルを高める---目次
富士通で個人情報漏洩の恐れ、業務PCのマルウエア感染で「ファイル持ち出せる状態」 2024.03.15
はてなサービスでイメージする「SOX法とは何ぞや?」 - Thoughts and Notes from CA
前回のエントリーで、下記のようなことを書いたが、「今ひとつSOX法がなんなのかぴんとこない」という方のために、「はてなが仮にこんなサービスを提供したら?」という視点で、難しい話ぬきでSOX法の解説を試みたい。 要するにSOX法の適用というのは、性悪説にたって悪いことができないような仕組み・プロセス・システムを整備しようというもので、それがあまりに"重たく"、その重荷に身悶えている公開企業が多いので、株式公開に二の足を踏んでしまうということ。 シリコンバレーは4枚目のカードを手にすることができるのか? スクリーンショットは私には無理だが、中島さんにならい、私もプレス・リリースちっくに・・・。 「もの作りは常にユーザーの視点から」をモットーとする私としては、まずは「ユーザーから見てどんな商品なのか」を明確にするために、スクリーンショット付きプレス・リリースのプロトタイプを作ってみた。 YouT
2006/8/2 ビジネスブレイン太田昭和の取締役で、公認会計士の野崎正幸氏は7月31日、日立ソフトウェアエンジニアリングが主催した「日本版SOX法セミナー」で講演し、内部統制整備のプロジェクトを立ち上げる際の検討事項を説明した。内部統制整備のコストは「控えめに見て大企業では1億円、中堅企業では5000万円を覚悟すべき」と説明した。 野崎氏は「業務プロセス統制での文書化が最もコストがかかる」と指摘した。フローチャート、業務記述書、リスクコントロールマトリクス(RCM)の文書化3点セットを作成し、読み合わせであるウォークスルー、運用テストを行うのに1プロセス当たり、1人の担当者が2週間掛かると説明。 事業を多角化していない企業では通常、100の業務プロセスがあるといい、これらの数値を考えると業務プロセスの文書化には約50人月の工数が掛かることになる。1人月のコストを200万円と考えれば1億円
先日、日本商工会議所北カリフォルニア支部が主催し、シリコンバレーで開かれたJ-SOXに関する勉強会に出席した。J-SOXは米国SOX法の日本版というべきもので、2009年3月期決算から導入される。J-SOX法の適用対象は日本企業であるが、在米子会社にとってもまったく無関心ではいられないので勉強会が開催されたのだ。 2002年7月に発効したSarbanes-Oxley法(略称SOX法)はエンロン事件やワールドコム事件など1990年代末から2000年代初頭にかけて米国で頻発した不正会計問題に対処するために制定された法律である。財務諸表が適正に作成されていることを検証する社内管理体制の評価まで含む広範、且つ、厳しい規制である。 この法律は罰則も異常に厳しい。CEO(最高経営責任者)とCFO(最高財務責任者)は決算内容・社内管理体制ともに適正であることの宣誓書を提出しなければならない。もし、嘘
日本版SOX法への対応が叫ばれている昨今ではありますが、EnterpriseWatchにベリタス・コンサルティングが日本版SOX法対応支援ツール「J-SOX WikiNote」を発表という記事が掲載されています。この製品情報のページを見る限りは、単なるWikiもしくはそれに企業内で使えるようにアカウント系のシステムが強化されているのかなぁと思わせるぐらいの製品に見えるのだが、J-SOX法では、内部統制を評価するための「業務記述書」「フローチャート」「リスクコントロール・マトリクス」の作成が必須となり、社内の各部署や外部との一元的な共同作業の場が重要になってくるわけで、Wikiというのは確かに向いているのかもしれない。とりあえず、将来の対策として、社内PukiWikiでも置いておきますかね。
電子メールの重要性は認識されているか? アーカイブシステム導入率は7% | エンタープライズ | マイコミジャーナル
いまや、企業、団体での業務遂行には電子メールは不可欠の存在といえる。だが、その利用実態について、見過ごせない課題が浮かび上がってきた。ガートナージャパンの調査によれば、電子メールを保存するためのアーカイビングシステムを導入済みの企業は7%に留まっている。電子メールには、事業活動を左右する基幹的な情報が添付されることも増加するなど、単なる個人間のコミュニケーションツールとはいえないだけの重要性が高まっているなか、その管理の実態は万全とは程遠いようだ。 電子メール・アーカイビング・システムの導入状況については、「1年以内に導入予定」が4%、「3年以内に導入予定」が5%、「興味はある」が42%だが、「考えていない」は42%に上る。また、アーカイバーがあっても「利用している」は47%で、半数以上が利用していない。利用していない理由は「古いメールはどんどん削除」が36.7%、「回答が遅く使いにくい」
2023年4月7日、2008年の制度開始から15年ぶりに金融庁は「内部統制報告制度」を大きく改訂した。改訂した制度は2024年4月以降に始まる事業年度から適用になる。内部統制報告制度は、上場企業約3900社とその連結子会社を対象に、財務報告について不正や誤りがないように内部統制を整備し、運用状況の評価を求めている制度だ。 2000年前後にエネルギー大手の米エンロンや、通信大手の米ワールドコムが粉飾決算により破綻したことから、米国で制定された法律「2002年サーベインズ・オクスリー法(米SOX法)」を基に策定された。米SOX法と類似しているから「日本版SOX法」あるいは「J-SOX」と呼ばれることが多い。 今回の内部統制報告制度(以下、J-SOX)の改訂は、これまでの内部統制の整備・運用にどのような影響があり、どのような対策が必要になるのだろうか。本特集では改訂版J-SOXの概要を全3回で明
2008年3月期から実施されるといわれている日本版SOX法。先に導入した米国では、SOX法への対応を果たすのが難しいゆえに、非上場になった企業があるといわれるほど、その内容は厳しいものになると見られている。しかし「うちは上場していないからいいだろう…」という声や、「実施時期はまだ先だし、来年になってからで十分だろう…」という声も多い。だが、完全な対応を果たす義務はなくても、企業が事業を展開するためには必ず関わってくる問題である。2005年に施行された個人情報保護法への対応ですら、あわてて対策をおこなう企業が多かった実情を見ると、遙かに厳しいSOX法への対応は楽観視できない。そこで、本連載では、日本版SOX法に不可欠な内部統制を実施するための手段やツール、それによってもたらされる効果について見ていくことにする。 日本版SOX法を考慮したシステム設計が必須に 日本版SOX法について語る前に
Attention, tech enthusiasts and startup supporters! The final countdown is here: Today is the last day to cast your vote for the TechCrunch Disrupt 2024 Audience Choice program. Voting closes… Meredith Whittaker has had it with the “frat house” contingent of the tech industry. I sat down with the President of Signal at VivaTech in Paris to go over the wide range of serious, grown-up issues society
内部統制を難しく考えていないか?――牧野弁護士
内部統制を難しく考えすぎていないか? ――牧野総合法律事務所の牧野二郎弁護士は7月19日、日本CAが開催した「日本版SOX法対応セミナー」で講演を行った。内部統制と言えば、COSOフレームワークなどを中心に難しく考えがちだが、日本の労働形態に適した考え方をする必要があるという。 牧野氏の指摘する日本型の労働形態というのは、仕事の情報が人に付くという属人化された形態のこと。欧米の企業では、作業自体に情報が付いているが、日本企業では情報が人に付いているということが多い。「年功者の発言には重みがある」「責任はオレが取るから、自由にやれ」――という仕事のやり方は、仕事が類型化されておらず、役割分担が明確でないことを意味する。これではCOSOといった枠組みは有効に作用しないという。 このような日本の企業風土においては、第一にやるべきことは「職務分掌を明らかにし、記録して点検する」ことだという。人間の
wavファイルの引き算(波形ではなく長さの差をとる)ができるソフトを探していたところSoX(Sound eXchange)というソフトを見つけました。調べてみるとSoXは音声ファイル関連でかなりいろいろなことができるようです。 SoX(Sound eXchange)のインストール SoX - Sound eXchange | HomePage SoXはコマンドラインツールのせいか日本語で書いているページは少ない、、、少ないですがマニュアルを日本語化されている方がいました。 SoX, SoXI, soxformat マニュアルページ日本語訳 これはすごく助かりますね。 まずはSoXのインストール。 LinuxBeanではSynapticパッケージャで検索すると14.3.2-3がでてきたのでそれをインストールしました。 SoX - Sound eXchange - Browse /sox at
2006/1/13 「日本版SOX法を商機ととらえるITベンダが間違っているのは、“日本版SOX法対応パッケージ”を売り込もうとしていることだ。日本版SOX法で求められる情報システムの対応は、ユーザー企業がすでに持つアクセス管理や文書管理などのツールでほとんどできる。重要なのは職務権限の明確化など、ユーザー部門のビジネスを変えることだ」。ガートナー ジャパンのガートナーリサーチ ITマネジメントグループのリサーチディレクター 松原榮一氏は企業のIT部門にこうアドバイスする。 2005年7月に草案が発表された日本版の企業改革法(SOX法)では、米国SOX法にはないIT統制の項目が盛り込まれた。ERPベンダやセキュリティ製品のベンダは、日本版SOX法の施行を2000年問題や個人情報保護法の続く商機と捉えて、マーケティング活動を活発化させている。 ただ、内部統制の構築は「単にIT関連のパッケージ
日本ヒューレット・パッカード株式会社(以下、日本HP)は10月4日、メールなどのデータを安全に保管して活用するデータ保存ソリューションの新製品「HP Integrated Archive Platfrorm(以下、HP IAP)」を発表した。導入サービスとともに同日から出荷を開始する。 日本HPでは、これまでデータ保存のソリューションとして「HP Reference Information Storage System(以下、HP RISS)」を提供してきた。今回のHP IAPは、より厳密となるコンプライアンス実現の要求に対応できるよう、HP RISSから製品名を改名し、性能を強化したソリューションとなる。併せて低価格化も実現したことで、「金融機関だけでなく製造・流通など多様な業種にも、大規模企業だけでなく中堅・中小などの規模にも最適な構成になっている」(HPソフトウェア事業本部 BIOビ
米国証券取引委員会(SEC)は2月26日(米国時間),米Symantecや米RealNetworksなど米国企業12社の社内ネットワークに不正アクセスして未公開情報を盗み出し,その情報を基に株式市場で不正に利益を上げた香港企業などを告訴した。不正に上げた利益の総額は270万ドル以上に及ぶ。 告訴されたのは,香港のBlue Bottle社と,英領ガーンジー島のMatthew Charles Stokesという人物。Blue Bottleなどは,コンピュータ・ネットワークをハッキングするなどして,米国企業12社から未公開情報を盗み出したという。 SECのプレスリリースでは,Symantecが不正アクセスの被害にあった事例を詳しく説明している。それによると,Blue BottleなどはSymantecの社内ネットワークに不正アクセスするなどして,業績予測の下方修正情報を発表前に盗み出した。その上
「金融商品取引法制に関する…:金融庁
平成19年7月31日 金融庁 「金融商品取引法制に関する政令案・内閣府令案等」に対するパブリックコメントの結果等について 1. パブリックコメントの結果について 金融庁では、 (1)平成19年4月14日(土)から平成19年5月21日(月)にかけて、「金融商品取引法制に関する政令案・内閣府令案等」を、 (2)平成19年5月18日(金)から平成19年6月18日(月)にかけて、金融商品取引法の施行に伴い導入される「四半期報告制度」、「内部統制報告制度」及び「確認書制度」の実施等に関する内閣府令案を、 それぞれ公表し、広く意見の募集を行いました。 その結果、 (1)について、309の個人及び団体から延べ約4千件のご意見等を、 (2)について、47の個人及び団体から144件のご意見等を、 それぞれ提出頂きました。 ご意見等を提出頂いた皆様におかれては、改正案の検討にご協力をいただき、誠にありがとうご
「証券取引法等の一部を改正…:金融庁
平成19年10月2日 金融庁 「証券取引法等の一部を改正する法律の施行等に伴う関係ガイドライン(案)」に対するパブリックコメントの結果について 金融庁では、「証券取引法等の一部を改正する法律の施行等に伴う関係ガイドライン(案)」につきまして、平成19年8月22日(水)から平成19年9月20日(木)までの間、広く意見の募集を行いました。 その結果、7の団体及び5の個人より計59件のコメントを頂きました。ご意見を提出して頂いた皆様には、改正案等の検討にご協力いただきありがとうございました。 本件に関してお寄せいただいたコメントの概要及びそれに対する金融庁の考え方は、[別紙1]のとおりです。 また、ガイドラインの概要は[別紙2]を、具体的な改正等の内容については、[別紙3]~[別紙13]を参照してください。 なお、本件と直接関係しないご意見もお寄せいただきましたが、これらにつきましては、今後のデ
「J-SOX時代のデジタル・フォレンジック」とは
12月に開催された「デジタル・フォレンジック・コミュニティ2006」では、日本版SOX法の成立を踏まえ、さまざまな観点からデジタル・フォレンジックについての議論が交わされた。 12月18日~19日の2日間、「デジタル・フォレンジック・コミュニティ2006」(主催:デジタル・フォレンジック・コミュニティ2006、特定非営利活動法人デジタル・フォレンジック研究会)が東京都内で開催された。 このイベントは2004年から開催されてきた。第3回となる今回は「J-SOX時代のデジタル・フォレンジック」をテーマに、デジタル・フォレンジックと密接な関係のある内部統制の話題を中心とした講演が行われた。 デジタル・フォレンジックは、コンピュータが持つさまざまな情報を犯罪捜査や訴訟に役立てるための技術体系として発達してきた。コンピュータを証拠品として押収したり、サーバのログを差し押さえるなどして、それらの情報を
内部統制,売り込みとは別にすべきこと
日経ソリューションビジネスの1月15日号で,「2007年商談三つのメガトレンド」という特集をまとめた。日経ソリューションビジネスはシステムインテグレータをはじめとするソリューションプロバイダ向けの雑誌であり,ユーザー企業にシステム提案している方々が中核読者だ。新年号の特集ということで,雑誌の定番「ITサービスにおける今年一年のトレンドを占おう」という趣旨で記事を企画した。 この特集には「『内部統制』『2007年問題』『Web2.0』から導く」というサブタイトルを付けた。この三つのキーワードを見て,「今さら何でこの三つのキーワードがメガトレンドだ?」と思わないでいただきたい。内部統制とは何かを改めて解説したり,今年は内部統制関連ソリューションが売れる,ということを言いたかったわけではない。 もちろん内部統制は,ユーザー企業の今年最大の関心事の一つであることは間違いない。関連するITソリューシ
もう少し早く発表してよ! 政府のSOX法Q&A
金融庁は6月24日、「内部統制報告制度に関するQ&A」について新たに47問のQ&A集を発表した。追加されたQ&Aの中では、中小企業向けの質問にいくつも答えているほか、「3点セットは必要なのか?」という質問もあり、日本版SOX法対象企業にとって貴重な情報となっている。一方で、適用後の発表は遅すぎるという声も多い。 今回発表されたのは、金融庁が2007年10月に発表した「内部統制報告書に関するQ&A」に加え、新たに47の質問に対して同庁が答えを示した形となっている。追加された質問は、発表後に対象企業から寄せられた質問などを基にして作成したという。日本版SOX法は、上場企業を対象に4月から適用が始まっているが、監査法人のトーマツが3月下旬に発表した調査結果によると、日本版SOX法対応への進ちょく状況が「文書化実施段階にある」と回答した企業が、42.5%もあることが判明している。 文書化が終わって
【NET&COM2007】「『3点セット』とは一言も書いていない」、青学八田教授がJ-SOX実施基準を語る 「実は『3点セット』という言葉は昨年秋に知った。なぜなら、実施基準ではそのような言葉は使っていないからだ」。2月9日、NET&COM2007で開催された「内部統制実施基準の基本的視点」と題した講演で、企業会計審議会内部統制部会長を務めていた、青山学院大学大学院の八田進二教授はこう強調した。 八田教授は日本版SOX法(J-SOX)の実務上の指針(ガイドライン)である「実施基準」について、「業種業態を問わずにどの企業にも共通する標準を示した。数値の基準を盛り込んだため、対応コストは抑えられるはずだ」と見解を示した。ただし、実施基準をはじめ、制度そのものの理解について「世間には誤解が多い。作成者の意向が十分に通じていない」と感想を述べた。 その一例が冒頭の「3点セット」だ。3点セットは日本
はじめに こんにちは、ピクトリンク事業部開発部サーバサイド開発課のkitajimaです。弊社サービスピクトリンクは、システム再構築の一環として
NetSuite、新プログラムでSalesforceを猛追
オンデマンドERPおよびCRMを提供するNetSuiteは、新たな「NetFlex Applications Program」を発表、IT産業界の寵児となったSalesforce.comを激しく追い上げる。 IT産業界の寵児となったSalesforce.comを、NetSuiteがさまざまな面で猛追している。 オンデマンドERPおよびCRMを提供するカリフォルニア州サンマテオのNetSuiteは米国時間1月12日、新たな「NetFlex Applications Program」について発表した。これは、サードパーティーベンダーが同社の「NetFlex」開発プラットフォームを用いて、NetSuiteの情報を自社のアプリケーションに取り込むのを支援していくプログラムだ。 同プログラムを利用すれば、NetSuiteとパートナーのアプリケーション間でデータをやり取りし、シームレスな相互運用性を実
The Kia EV3 — the new all-electric compact SUV revealed Thursday — illustrates a growing appetite among global automakers to bring generative AI into their vehicles. The automaker said the…
日本版SOX法がもたらす「内部統制」のIT化 新法施行で、会社の「透明性の確保」は実現するのか SFJソリューションズ 常務取締役 情報システム部門コンサルタント 川上 暁生 氏 2002年に米国で誕生した企業改革法(サーベンス・オクスリー法=SOX法)の日本版ともいわれる法律が、2008年3月決算期から施行される見通しだ。金融庁の企業会計審議会が、7月13日付けで『財務報告に係る内部統制の評価及び監査の基準』の草案として公開しているものが、いわゆる日本版SOX法である。 日本版SOX法の対応には、「ITが必要」だという見解は以前からあったが、11月10日に開催された第12回内部統制部会で、ITは「(企業の)内部統制の目的を達成するために不可欠な要素」であり「内部統制の有効性に係る判断基準」として明確に位置付けられた。 これにより、企業はITを中心としたSOX法対策が必須課題に
2006/1/14 「内部統制システムが一人歩きすると危険。企業はまず何をやるべきかを明確にすべきだ」。弁護士の牧野二郎氏は1月13日に開催された「コンプライアンスサミット2006」(特別協賛:日立システムアンドサービス)でこう述べた。2005年4月に完全施行された個人情報保護法では、過剰反応で個人情報の利用を一切取りやめる企業が続出。ビジネスへの悪影響が心配された。牧野氏は個人情報保護法の経験を踏まえて、「企業は内部統制構築の計画を立てて順番にやっていけばビクビクすることはない」と過剰反応に注意を呼びかけた。 内部統制の強化というと2008年3月期にも導入されると見られる日本版企業改革法(日本版SOX法)ばかりが注目される。しかし、牧野氏は「日本版SOX法への対応だけでは大きな間違い」という。新会社法が今年5月も施行されるとみられるからだ。新会社法では内部統制システムの構築を企業に対して
日本企業に対し、内部統制の確立を迫る「日本版SOX法」の実体は、今のところ、1つの基準案と1つの法案から成る。 基準案は、「財務報告に係る内部統制の評価及び監査の基準案」と言い、金融庁の企業会計審議会内部統制部会が2005年12月8日に案を公開した。この正式名称から分かるように、企業が内部統制の仕組みをきちんと設けているかどうかを、評価・監査するやり方の案を示したものだ。つまり、この基準案が、内部統制をせよと企業に命じているわけではない。 企業に内部統制を求めるのが、3月10日に閣議決定した「金融商品取引法(投資サービス法)」である。同法は、金融商品を取引する際の各種ルールをまとめた広範囲な法律で、この中に、「内部統制」の義務化を株式公開企業に迫る部分がある。 この法案が成立し、それと前後して、基準案が「基準」になると、企業は内部統制に取り組み、基準が示すやり方でその取り組みを評価し、公認
[ThinkIT] 第1回:SOX法がやってくる (1/3)
——ダンカンは部屋にいて彼のEメールをチェックし、ファイルを削除していた。「こいつを消さないといけないんだ」ダンカンはコンピュータのスクリーンを指差しながら、スタルブにこう言った。 名門アーサーアンダーセン消滅の軌跡(注)より抜粋。 ※注: 「名門アーサーアンダーセン消滅の軌跡 - 公正な監査とリスク管理のプロ集団に何が起こったか元社員らが書いた内幕ストーリー」 著者:スーザン・E・スクワイヤ、ロルナ・マクドゥーガル、シンシア・J・スミス、ウィリアム・R・イーク、翻訳:平野 皓正、監修:森田 松太郎 2001年のエンロンの巨額粉飾事件が起こり、それを受けて2002年7月に米国で施行されたのが、SOX法と呼ばれる法律である。エンロンを担当していた名門会計事務所アンダーセンがEメールをはじめとした証拠隠匿の罪で消滅し、米国の景気にも衝撃を与えた。 この事件の再発を防ぐことを目的としたのがSOX
システム監査の設定
Windows 2000のデフォルトではシステム監査は設定されていません。これは、ユーザーのログオンやログオフの成功や失敗、重要なファイルへのアクセス失敗などについて追跡する手がかりが何もない状態と言えます。Windows 2000ではシステム監査の機能を利用することにより、セキュリティ上重要なイベントをイベントログ(セキュリティログ)に記録するように設定できます。 Windows 2000では以下の項目について、「成功」と「失敗」に関する監査を行なうことが可能です。 アカウント ログオン イベントの監査 アカウント管理の監査 オブジェクト アクセスの監査 システムイベントの監査 ディレクトリ サービスのアクセスの監査 プロセス追跡の監査 ポリシーの変更の監査 特権使用の監査 ログオンイベントの監査 セキュリティイベント監査の一般的な設定例を以下に示します。 多くの項目について
内部統制におけるITとCOBITの関係は?
内部統制におけるITとCOBITの関係は?:セキュリティツールで作る内部統制(2)(1/2 ページ) 前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークであるCOSOフレームワークと日本版COSOフレームワークについて解説した。今回はまず、「内部統制においてITをどのように考えるべきか?」という部分を考察し、その後にIT内部統制フレームワークであるCOBITについて説明する。 前回は米国SOX法や日本版SOX法の概要と、その中で求められている内部統制のフレームワークである「COSOフレームワーク」「日本版COSOフレームワーク」について、簡単に解説しました。そして、「内部統制にはIT、IT部門もかかわってくる」と触れました。 今回はまず、この「内部統制においてITをどのように考えるべきか?」という部分から考察し、その後にIT内部統制のフレームワークで
財務報告の適正性を確保するために内部統制に取り組む企業や,その監査を行う個人・組織が参考にすべき実務的なガイドライン「実施基準」。金融庁の「企業会計審議会 第14回内部統制部会」は,この実施基準の草案(以下,実施基準案)について11月6日に議論し,その内容を同8日に公開した。 既報通り(関連記事1,関連記事2),実施基準案は,(1)「内部統制の基本的枠組み」,(2)「財務報告に係る内部統制の評価及び報告」,(3)「 財務報告に係る内部統制の監査」という,合計約80ページの3つの文書で構成する。これらの文書の“中身”はいったい,どのようなものなのか。第14回内部統制部会で議論の対象となった(1)と(2)の詳細な内容を,2回に分けて報告する((3)は11月20日に開催される第15回内部統制部会で議論される)。 今回の前編では,組織の規模や形態などに関係なく,内部統制の評価・報告・監査を実施する
2008年4月からの会計年度で日本版SOX法の適用が始まる。今年度にやらねばならないことは,財務諸表に影響を与える大きなリスクをつぶすことだ。ITエンジニアがムダのない作業を実施するためのポイントを紹介する。 「日本版SOX法対応に今から着手するITエンジニアは,ギリギリのタイミングだと考えた方がいい」――。ガートナージャパンでSOX法対応企業向けにコンサルティング業務を手掛ける松原榮一氏(リサーチ バイス プレジデント)は,こう指摘する。同様にSOX法対応サービスを提供しているAKIの青木孝浩氏(取締役)も,「時間の余裕はない。できるだけ早めに着手すべき」と口をそろえる。日本版SOX法対応を進めると,ITエンジニアの作業が大幅に増え,時間が不足するからだ。 財務諸表の正しさを求める金融商品取引法,いわゆる日本版SOX法への対応においては,システム開発・運用業務の変更が必要になり,情報シス
最近、米国の法律(SOX法)の日本版が情報システムに影響を与える可能性を指摘する声が聞こえてくる。確かに、米国では同法が施行されたものの、対応できない企業が相次ぎ、膨大なIT投資を余儀なくされた。しかし、日本では米国の企業で起きた問題ほど、深刻な問題とはならないだろう。 米国のSOX法とは SOX法と呼ばれるSarbanes-oxley法は、米国企業のずさんな経営が引き金となって策定された法律だ。同法は、企業の会計制度にメスを入れることによって、監査法人の行動を厳しく制限し、経営者には情報開示を求めている。監査法人が独立性を確保して、企業に対して適正に行動していれば、何も問題はなかった筈だ。SOX法によって、情報システムにまで影響を与えたことで、会計制度が情報システムに影響を受けやすい、つまりITを抜きにして、この問題を解決できないことを証明したともいえる。 SOX法が情報システムに与えた
CONNECT GATE|株式会社コネクトゲート
▼ 【注意喚起】悪質な「偽通販サイト」による詐欺等にご注意ください 平素はコネクトゲートの各サイトをご愛顧いただき誠にありがとうございます。 現在、弊社社名・弊社代表取締役及び取締役の氏名・本店所在地・連絡先等(以下、「弊社会社情報」とします。)を無断で冒用(盗用)する「偽通販サイト」の存在を確認しております。 弊社グループが運営しておりますのは下記ECサイトのみでございます。下記以外で、弊社会社情報を利用して商品販売を行うECサイトがございましても、弊社とは一切かかわりございません。 また、万が一弊社会社情報の記載された「偽サイト」にて被害にあわれた場合は下記のご対応をご検討ください。 お客様がこのような「偽通販サイト」をご利用になった場合、お客様の個人情報をはじめとする重要な情報を不正取得されたり、商品代金決済後も商品が届かない・偽の商品が送り付けられる等の被害が発生する恐れがございま
自社のログ取得体制を構築する上では,(1)不正なアクセスから守る,(2)時刻を合わせる,(3)保存期間を決める――の3つに注意したい(図1)。 図1●ログ取得の体制を構築する上での注意点 ログを削除/改ざんされないためのセキュリティ対策が必要となるほか,ログごとの時間がずれないように各サーバーの時刻を合わせる必要がある。重要度や監視頻度に応じてログの保存期間も決めておくようにしたい (1)が重要なのは,ログが削除されたり改ざんされたりしたら意味をなさなくなってしまうからだ。特にフォレンジック製品は,ネットワーク上の通信を記録しているので,外部に記録が漏れただけでもセキュリティ上の問題になる。ずさんな管理は逆効果になるので注意したい。 (2)の時刻は,ログを取得するサーバーごとに時刻がバラバラになっていると,何か問題が起きたときにログの突き合わせが大変になる。また「時刻が正確でないと,ログの
「セキュリティツールで作る内部統制」関連の最新 ニュース・レビュー・解説 記事 まとめ - ITmedia Keywords
セキュリティツールで作る内部統制(10): 内部統制におけるコンピュータの運用とEUC これまでIT全般統制の3つの領域を説明してきたが、今回はIT全般統制の最後の領域である「コンピュータ運用」と「EUC(エンドユーザーコンピューティング)」について解説する。(2007/5/11) セキュリティツールで作る内部統制(9): プログラム変更はIT全般統制のもう1つの鍵 前回、日本版SOX法対応におけるセキュリティ以外の分野である「プログラム開発」について解説した。今回は、残りの「プログラム変更」と「コンピュータ運用」のうち、「プログラム変更」について説明する。(2007/4/2) セキュリティツールで作る内部統制(8): 日本版SOX法でプログラム開発に求められるもの 本連載ではこれまで、日本版SOX法対応におけるセキュリティについて解説してきた。今回からは、セキュリティ以外の部分である「プ
「内部統制の整備にとりかかる際に、まず、コンサルティング会社やITベンダーに頼ろうとする経営者がいる。だが最初から社外に頼るのは、内部統制に対する理解が間違っているのを証明しているようなもの」。八田進二 青山学院大学大学院会計プロフェッション研究科教授は6月15日に開催された講演の中でこう強調した。講演はERP研究推進フォーラムが主催した「経営革新サミット2006」でのもの。八田教授は、“日本版SOX法(企業改革法)”と称される「金融商品取引法」が成立したのを受け、「企業はいち早く、内部統制の整備に取り組むべきだ」と繰り返した。 八田教授は、内部統制の評価・監査基準案(以下、基準案)を作成している金融庁 企業会計審議会内部統制部会で部会長を務めている。基準案では財務諸表を作成する際に、経営者がリスクを指定するトップダウン型のリスク・アプローチを採用している。八田教授は、「企業の内部統制の整
2007/01/23 金融庁は1月31日に企業会計審議会 内部統制部会を開催し、昨年11月21日に公開した日本版SOX法の実施基準の公開草案について議論する。集まったパブリックコメントを委員に紹介し、必要があれば修正する。金融庁は「場合によっては委員の承認をいただく」としていて、この場で実施基準の決定版が公表されそうだ。 実施基準は内部統制部会で承認後、企業会計審議会の総会で承認し、正式決定される見通し。
「内部統制報告書」のひな型、3月末に内閣府令で明らかに
「金融商品取引法」(金取法)で上場企業に提出を義務付けた「内部統制報告書」の書き方が3月末をメドに公表されることになった。1月31日に開かれた金融庁の企業会計審議会内部統制部会で、「報告書の記載事項や形式は金取法の内閣府令に盛り込む」ことが示された(同部会で配布された資料はこちら。実施基準案に関する関連情報は「内部統制.jp」の特集ページを参照)。内閣府令は3月末にもまず案が公表される。その上で約1カ月のパブリックコメントにかけ、修正を加えた上で公布される公算が高い。このため確定は5月以降になるもようである。 いわゆるJ-SOX法の実施基準案は、「内部統制の枠組み」「経営者による評価方法」「監査方法」を示しているが、唯一ごっそりと欠けているのが経営者による報告方法である。31日の内部統制部会では実施基準案の審議を終えており、企業会計審議会の総会で2月中に確定することが決まった。企業が取り組
金融商品取引法に基づく内部統制報告制度(日本版SOX法)の適用年度を直前に控えた3月4日、ITmedia エグゼクティブでは「J-SOX対応最終チェック」と題したエグゼクティブラウンドテーブルを開催した。「IT統制」をテーマに講演した監査法人トーマツの丸山満彦公認会計士は、評価の基準にかんして「心証が左右する」と明かした。 IT統制とは、内部統制システムの一部を構成する統制要素で、ITを利用した部分を指す。ITを利用して会計処理を適切に行う「IT業務処理統制」と、(業務処理統制を含む)IT処理が適切に機能させる「IT全般統制」に分類される。 IT全般統制のポイントは、データやプログラムが改ざんなく正しく実行されていることで、そのために重要なのが「アクセス管理」である。丸山氏は「日本は共同意識が強く現実世界での職務権限があいまいなので、システム上に(権限を)移行してもうまくいかない。また運用
IT統制の実務的参考文書,J-SOX対応の具体例示す
日本版SOX法(J-SOX)の適用年度まで残り3カ月の今、同法が求めるIT統制の整備・運用に向けた参考文書が相次いで登場した。日本公認会計士協会(JICPA)と経済産業省のそれぞれが公表した。いずれも、既存の関連文書と異なり、具体的な記述が多い。 JICPAが11月8日に発表した文書は、「ITにかかる内部統制の枠組み~自動化された業務処理統制等と全般統制~(公開草案)」。わずか9ページの文書だが、IT業務処理統制とIT全般統制について、両者の関係や具体的な統制項目例などを挙げる(図)。 10月には経産省が、「システム管理基準 追補版(財務報告にかかるIT統制ガイダンス)追加付録 公開草案(以下、追加付録)」を発表した。3月末に公表したJ-SOXに向けたIT統制の実務指針「システム管理基準 追補版」を補足する。財務会計パッケージの機能に対する、内部統制を考慮したチェック・シートや、連結・個別
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「控えめに見ても……」、内部統制整備で覚悟すべきコストは? - @IT
日本企業を縛る米国流SOX法に無理に付き合う必要はない|シリコンバレーで考える 安藤茂彌|ダイヤモンド・オンライン
J-SOX法への対処にはWiki? | スラド
15年ぶり改訂のJ-SOX、IT部門がいますぐ知っておくべき5つのQ&A
【第1回】日本版SOX法への認識の落とし穴〜すべての企業が対象となる可能性が〜 - IT内部統 - ZDNet Japan
TechCrunch | Startup and Technology News
SoX(Sound eXchange)で音声感知録音:その1
ガートナーが語る日本版SOX法とIT部門の心得 - @IT
日本HP、オールインワンのメールアーカイブ新製品-分散保存と並列処理で検索は1秒以内
「不正アクセスで業績予想を入手,株式市場で空売り」,Symantecなどが被害
【NET&COM2007】「『3点セット』とは一言も書いていない」、青学八田教授がJ-SOX実施基準を語る
FURYU Tech Blog-フリューテックブログ | Furyu Tech Blog
TechCrunch | Startup and Technology News
日本版SOX法がもたらす「内部統制」のIT化 / SAFETY JAPAN [インタビュー] / 日経BP社
日本版SOX法にビクビクしないために、牧野弁護士が助言 - @IT
【第5回】日本版SOX法とは?:日経ビジネスオンライン
【詳報】明らかになったJ-SOX「実施基準案」の中身(前編)
ITエンジニアが取り組む内部統制>J-SOX対応の4本柱とは:ITpro
日本版SOX法が企業に与える影響 - ITセキュリティー下学上達
[注意点]ログの削除/改ざんを防ぎ,時刻や保存期間に注意する
「社外の力を頼った時点で、内部統制はできていない」、青学の八田教授が講演
日本版SOX法「実施基準」が正式決定へ、31日に内部統制部会 - @IT
結局は「心証」が決め手?――内部統制評価