システム監査人の日記

システム監査人が監査・テクノロジーに関する情報を書き留めていきます。

内部統制の限界

内部統制が有効に機能していると、不正や不祥事が起こるリスクは減少しますが、それでも絶対に発生しないというわけではありません。以下の6つのパターンに代表されるようなケースでは、内部統制が有効に機能しません。①不注意担当者の不注意により、統制活…

統計的サンプリング

監査において、母集団が非常に多いもの(例えば毎日作成される運用チェックリスト等)に関しては、全てのサンプルをチェックすると多大な労力がかかってしまいます。そこで、母集団の中からサンプルを抽出して評価する、サンプリング手法を用いるのが一般的…

内部統制の整備と運用

内部統制の構築においては、「整備」と「運用」という2つの概念が存在します。■整備ルールを規程やマニュアルとして明示し、統制活動としての手続きを明確にすること。例)「機密情報へアクセス出来るのは許可された者のみ」というルールがなかったり、あっ…

WAFとファイアウォールの違い

公開サーバへのセキュリティ対策として使われているWAFについて。 WAF(Web Application Firewall)という名前の通り、Webアプリケーション(Webサイトなど)に特化したファイアウォールになります。 ファイアウォールではパケットに含まれる送信元/送信先の…

不正のトライアングルとは

不正が発生する際の要素として、以下の3要素(不正のトライアングル)が揃うと発生すると言われています。 ■機会 不正を行える環境にあるかどうか。例えば、経理担当者1人が入出金管理をおこなっていたり、データベースにアクセスできるシステム管理者権限を…

内部統制監査と財務諸表監査の違い

私が最初うまく理解できなかった内部統制監査と財務諸表監査の違いについてまとめます。 ■2つの監査が出来た経緯 昔は財務諸表監査のみで、財務諸表の開示された数字があっていれば良いとされていました。しかし、粉飾決算の頻発を受けてJ-SOXが成立し、会社…