悩み所、勘所。−日本版内部統制“成功”の秘訣
日本版内部統制“成功”の秘訣―SOX法成功体験者にしか書けない (B&Tブックス)
- 作者: 榎本吉伸
- 出版社/メーカー: 日刊工業新聞社
- 発売日: 2008/03
- メディア: 単行本
- クリック: 9回
- この商品を含むブログ (3件) を見る
著者は米国SOX法該当のキヤノンで、IT全般統制の実務に携わり、内部統制「有効」を外部監査人から勝ち得た、数少ない内部統制のフル実務担当者。本著はそんな著者がSOX法対応の実務の中での、悩み所、勘所をポイントとして紹介しながら、一連の内部統制監査の評価手順を示してくれたもの。
通読して、以下の人たちに読んでおいてもらいたい良書と言える。(そもそも以下に該当しない人がこの本を手にとるのだろうか。。)
1.内部監査人・内部統制担当者(内部担当者)として、J−SOXに関わる人
2.外部監査人として、内部担当者と関わる人
それぞれにおいて、どのような読むポイントがあるのかだが、まず内部担当者としては以下2点があげられる。
1−1)J−SOXの一連のプロセスがまとまっている
とくに期末アップデートまでの評価手順が記載されているので、有効ゴールへの道筋、ゴールの場所・その姿を知ることができる。これはいくべき道筋に悩む担当の方々へ、よい道標となると思う。
1−2)内部担当者として、実施上で悩んだポイントがわかる
本書によると大きく以下3つ。
I.評価範囲の決定
II.デザインの評価(リスクを適切に低減しているかの判断)
III.証跡の必要性のレベル(全ての承認に判子がいるのか?)
次に、外部監査人としての読むポイントは、
2−1)上記と同様、外部監査人として内部担当者が実務において何に悩んでいるのかを知ることができることにある。
外部監査人と内部担当者との温度差は、そのまま上記の悩んだポイントであり、ここは今後各社の内部担当者と、論点になるところと予想される。そのような論点をあらかじめ把握ができ、準備として自分の判断基準も準備しておける。
個人的には、外部監査人として往査時に、配って歩きたい本と言っても過言ではない。「担当者の方はこういう所を悩んでるんですよねー。わかりますわ〜。」「内部統制評価プロセスのゴールはここなんですよー。」「お互いここ目指してやっていきましょうね。」こんな感じで。
効率的筋トレで基礎代謝を上げる−一生太らない体のつくり方
- 作者: 石井直方
- 出版社/メーカー: エクスナレッジ
- 発売日: 2008/01/17
- メディア: 単行本
- 購入: 14人 クリック: 56回
- この商品を含むブログ (47件) を見る
30歳後半になると、多少の食事制限や運動をしても体重が落ちづらいと感じるようになると思います。それには代謝の低下が深く関わっているのです。その代謝の低下は、筋肉量の増減とも深いかかわりがあります。本書では、そのしくみをわかりやすく解説し、効率よく筋肉量を増やし、代謝のよい体をつくるためのノウハウを紹介します。付録として、2種類の実践スロトレメニューも付いています。
著者は筋肉研究の博士かつボディビル選手。ご自身の研究である科学理論分野からのアプローチと、同じくご自身のボディビル選手としての実際経験の両方があるからこそ、説得力も増すのだろう。本書は主に理論分野からのアプローチが中心となっている。
一生太らない体とは、基礎代謝の高い体。基礎代謝の高い体とはつまり筋肉の多い体。ロジックとしては筋肉の多い体を維持することで、一生太らない体を維持するという内容。
ここまでなら他の本にでも割と書いてありそうな内容と言えるが、本書の優れている点は、一歩踏み込み、「効率的に筋肉をつける」手法を理論の面から紹介していることにある。
続けるためには、楽で手軽でないと難しい。いきなり毎日ジムに言って数時間筋トレしろと言われて、続けることが出来るわけがない。続けるための効率的な筋トレ、つまり、いかに短い時間で効果的に筋肉に負荷をかけるかを、理論の面からアプローチしてくれている点が非常に有用である。
決して楽ではないが、時間は短い。毎日何時間もせずとも効果がある方法と知り、それが続けることが出来そうなモチベーションへとつながっていく。
本書のよさは、「続ける」というハードルを、理論の面からの効率的な筋トレアプローチで、下げたことにある。
三菱東京UFJのシステム障害(仮書き)まとめない気がする。
不具合の原因は「カタカナでなく漢字だったから」――三菱東京UFJのシステム障害
今回のミスの詳細はよく知らないから、今回のようなミスがどこで防がれているべきだったのかはわからない。でもこの文面だけ見るなら、確実にどこかのテストケースで拾えたミスだという印象を抱いた。
機能設計時のレビュー、手を抜いたんじゃない?接続先のパターンを想像して網羅的に機能設計、テストケースを考え、レビューしていたのだろうか?なんとなく今までの経験上、設計及びテスト時に異常系(後述)の考慮の重要性をあまり認識していないSEがよくやるパターンのミスだと感じた。
異常系というのは、該当機能が要件の想定外の起動やデータ入力等のことを言い、逆に要件の想定通りの起動やデータ入力等の場合は正常系と言う。例えばATMを一例とするなら、当銀行のキャッシュカードが挿入されたら正常系(想定通りのカードが挿入された)、これに対しPASMOとか蒲焼さん太郎が挿入されたら異常系(想定外のカードが挿入された)。
異常系の考慮の重要性について記述する。機能というのは当然ながら動くように書かれる。当たり前だ。要件に沿った機能を作るというのは、想定通りのデータに対し、想定通りの処理を行い、想定通りの結果を実現することに他ならない。そしてこの要件通りの機能を作ることがSE・PGの仕事である。しかし本当に難しいのはこの想定通りの正常系ではなく異常系のパターンだ。
上記の例でも
設計・テストでの異常系の考慮と重要性
上記無意識SEによくあるミス
特に切羽詰ると正常系が動いてるとOKに見える
ミスの多くは異常系がこないと発覚しない
設計・テストケース作成時(机上時)にどれだけ異常系を想像できるか
SEの能力
正常系が動くのは当たり前
それさえ動かないと何も作れていないことに
異常系の対応がどれだけなされているか
SEは心配性のタイプが向いてる
心配性の書いたテストケースは細かい
こんなのいちいち確認してデビデンスとるほどのレベルじゃないだろ
ITGCの有効性評価の手順(メモ書き)
ITGCの有効性評価の手順には、5ステップが存在する。?ITGC個別評価、?ITGCカテゴリごとの評価、?AuCへのサポート評価、?リスク実証評価、(?結論としてのAuCにおけるITGCの評価)
まず、?ITGC個別評価について、ITGCには大別して3つのカテゴリが存在し、そのそれぞれに複数のプロセスが存在する(後述)。そのプロセスごとに個別にRCMを元にWT・FTOCを行いITGCの有効性評価を行う。
次に?ITGCカテゴリごとの評価を行う。ITGCカテゴリには、a)変更管理、b)論理アクセス、c)その他のITGC(運用)の3つが存在する。この3カテゴリにおいてそれぞれプロセスが、a−1)案件承認、a−2)テスト、a−3)本番前承認、a−4)モニタリング、a−5)職務分掌(分離)、b−1)ユーザID・・・c−1)バックアップ、c−2)、c−3)障害管理、の計5+8+3=16プロセス存在する。?のITGC個別評価においてはこの16プロセスをそれぞれ個別評価するが(評価しない場合もあるが、しない場合はしない理由が必須)、?ではこの3つのカテゴリごとに有効性の評価を行う。
?AuCへのサポート評価では、?で評価したITGCカテゴリの有効/非有効がAuCに与える影響について確認する。とくにITGC非有効時に
?リスク実証評価では、AuCのTOCをITGCにおいてサポートできなかった場合に、ITリスクの実証手続きを行うことにより、ITの反復性によるAuCの一定の心証を得ること
IT全般統制における主要2プロセス
IT全般統制における主要2プロセスである、1.変更管理 2.論理アクセス について言及する。
まず1の変更管理について記述する。変更管理とは主にプログラムの開発・修正履歴をシステムおよびシステム部門内で管理する統制のことである。(誰が・いつ・どのように、変更の話を出して、承認して、修正を行い、修正内容を検収し、本番環境に適応したかについて。)
この変更管理はIT全般統制(Information Technology General Control、以下ITGC)におけるメインの部分である。なぜなら変更管理こそが自動化された(IT化された)統制活動の機能の反復性を維持する仕組みだからであり、また2の論理アクセスの運用状況の有効性評価を変更管理に依拠する部分が存在するからである。
変更管理の有効性評価も、基本的な業務処理統制の有効性評価と同様に、整備状況の評価と運用状況の評価の2つの観点から評価を行う。
変更管理の整備状況の評価は、変更管理のルールが明文化されているか、また文書は存在しなくともルールが存在するか、そして1件サンプリングテストを行い、変更管理の統制活動が有効に存在しているかを評価する。業務処理統制の整備状況評価と全く同じである。
なお予断であるがUS・J−SOX対応においては、ルールが存在していても文書化されていない場合は統制不備と判断する方向が現在の流れである。SOX対応で文書化が叫ばれているのはこれのことである。
変更管理の運用状況の評価は、主に25件程度のランダムサンプリングによるテストにて評価する。その際にポイントとなるのがランダムサンプリングの母集団を明確にすることと、システム内の変更履歴をスタートとし、そこから変更管理文書の証跡をチェックしていくという、逆進方向でのテスト手法をとることである。(理想は逆進と順進両方行う。)これは、母集団の設定を慎重に行わなければ、網羅性の観点でランダムサンプリングの効果を疑うようなことが起こりうるからである。(モレ・ヌケなど)
なお逆順方向でのテスト手法を採るのは、システム内に登録されているが変更管理文書が存在しないというリスクの抽出が可能だからである。 逆に順進では、変更管理文書をベースにシステム内の変更履歴を参照するためこのリスクを抽出できないが、その代わりに変更管理文書上に存在するがシステム内に存在しない変更履歴を抽出することが可能である。
しかしリスクベースの観点から考えると、必要なものが存在しないリスクより、誰も知らない不必要なものが存在するリスクのほうが、不正の可能性という観点で捉えた場合によりリスクが高いと考えられる。そのため、そのようなリスクを抽出することが可能な逆進方向でのテスト手法を採用している。
上記の整備状況と運用状況の評価により、ITGCにおける変更管理の有効性を評価する。
次に2の論理アクセスについて述べる。これはデータの改ざんを防ぐ仕組みであり、特にデータ変更の中心となるアプリケーションへのアクセス権管理への統制のことである。
