リスクマネジメント＆内部統制に関する本や情報を紹介します！

タグ: 企業不祥事内部統制コンプライアンス秋山進

内部統制とERM

他社より早くリスクを察知したい
コストを極力下げて効果を上げたい
経営者・管理者の責任連鎖を保証したい
財務報告の内部統制だけで終わらせたくない
ERMを戦略策定・経営計画と一体化させたい

というニーズに応えるために本書を執筆しました。

というのが「はじめに」の書き出しの言葉となっています。

ERM（Enterprise Risk Management：全社的リスクマネジメント）は、今日、コーポレートガバナンス、経営管理（業績管理）、内部統制、コンプライアンス、CSR、セキュリティ対策などを統合的にマネジメントするための概念としても注目されつつありますが、本書では、ERMを以下のような仕組みとしています。

経営戦略の達成を合理的に保証するためのプロセス
経営者によってリードされ、戦略策定に活用され
組織全体に適用され、全社員が参画することによって活性化し
発生可能性の高いリスク事象を予見するように設計され
経営者への投資やリスクの選好の度合い（リスク・アピタイト）をマネージし
ガバナンスを強化し、持続的な成長を支援する

コーポレート・ガバナンスの強化、コンプライアンス体制の見直し、新たな法制度への効果的な対応などに求められるERM（全社的リスクマネジメント）や内部統制の構築・高度化に必要な知識について分かり易く解説している本を紹介します。

経営者、CFO、管理者の方々ためのERMの実践実務書になります。

金融庁の内部統制報告制度へのコスト効果を意識した対応、ERMの仕組み確立にむけてのロードマップの描き方、さらには、ＥRMの導入にあたって留意すべき事項、導入のために必要なプロセスなどを分かり易く解説しています。

本書：「内部統制とERM」です。

「透明性を高め、説明責任を果たす」との副題が付いています。

本書は、著者：神林比洋雄氏にて、2008年5月にかんき出版より発行されています。

本書の帯、並びに表紙カバーの折り返し部には、以下のように書かれてあります。

全社的リスクマネジメントで

持続的成長を目指す

他社より早くリスクを察知したいとき

コストを極力下げて効果を上げたいとき

税務報告のみの内部統制に終わらせたくないとき

すばやい意志決定でリスクに対応し、チャンスに変える

経営者と社員が説明責任を果たす

財務報告の内部統制からERMへのロードマップを描く

ERMを戦略策定・経営計画と一体化させる

モニタリング機能により経営の品質を高める

経営者・管理者のためのポイント付

本書は、8章から構成されています。また各章の見出しの項目について、最初に「経営者・管理者のためのポイント」として、その見出し項目のエッセンスが枠囲みにて、箇条書きでまとめてあり、続いて解説がされるというスタイルで説明がされており、分かり易い構成となっています。

第1章では、「持続的成長を脅かす新たなリスクとは？」
として、グロバリゼーションの進展に伴う、リスクの多様化、複雑化などを総括した上で、続発する不祥事について、その中味を分析し、トップマネジメントの責任を確認しています。さらに会計基準の国際的な統合の現状について概観しています。

第2章では、「新たなリスクにどう対応するか」
として、コーポレートガバナンスの強化への対応、また内部統制とERMとの関わり、また企業不祥事に関わる予防ならびに企業価値向上の観点、効果的なコンプライアンス・CSRに応えるための内部統制・ERMの位置づけ、内部統制報告制度の導入2年目以降に対する展望、会社法と内部統制とERMとの関係、経産省、東証、日本経団連の期待といった側面に対してどう対応するか等のポイントを解説しています。

第3章では、「トップダウンによる、変化への全社的な対応」
として、ERMを基軸としたトップダウンによる各種の変化への対応の考え方が解説されています。

第4章では、「内部統制はERMの基盤」
として、内部統制が誕生してきた経緯にはじまり、COSOモデル、COSOの内部統制のフレームワーク、内部統制の目的から構成要素、内部統制に対応すべき経営者、管理者の役割、内部統制の限界、内部統制の構築・展開のためのロードマップ、リスクマネジメントとしての内部統制を基盤としてのERMの観点からのステップアップなどを解説しています。

第5章では、「財務報告のみの内部統制で終わらせない」
として、金融庁の内部統制報告制度、のフレームワーク、アメリカのSOX法対応の初年度に発生した取組から学ぶこと、内部統制プロジェクトの効果的な進め方、内部統制の評価や不備に対応するためのスタンスなどを解説しています。さらに内部統制の付加価値を高めるとの観点からの重要な視点、そして内部統制からERMへと展開していくアプローチとそれに関する考え方などを解説しています。

第6章では、「ERMを導入・強化する」
として、導入前に考えておくべき事項から始まり、COSOのERMフレームワークの概説、ERMの導入にむけてのリスクマネジメントビジョンの策定と共有化、リスクマネジメント能力の成熟度レベルとその特徴、要素などを解説し、ERMを導入・強化していく3つのステップとその概要を解説しています。次いで、第１のステップとなる「全社的リスクの評価」のための4つの取組、第2のステップとなる「ギャップ分析」のための2つの取組、さらに第3のステップとなる「継続的改善」のための2つの取組について順次、詳解しています。

第7章として、「内部統制・ERMの品質をモニタリングする」
として、内部統制及びERMの品質をモニタリングするための「自己評価」、「内部監査」「監査役・監査委員会」、「外部監査人による内部統制監査」などについて、内部統制及びERMの品質との関わりについて、その意義や具体的な活動とその留意すべきポイントなどを解説しています。

第8章として、「ERMの将来ビジョン」
として、事業パフォーマンスの改善へのERMの活用にはじまり、事業戦略策定とのERMの関わりについての展望、M&Aのプロセスについてリスクマネジメントの観点からM&Aを成功させるための進め方など解説しています。さらに持続可能な競争優位の確立にERMを活用するとの考え方やそのポイント等を解説しています。

ERMを企業価値を高める、事業戦略・目的の達成のためのリスクマネジメントとの視点から内部統制とからめて事業戦略策定・管理プロセスとリスクマネジメントとの統合の重要性などを実務的に経営者・管理者のためのポイントを重点に分かり易く解説しています。

今日の不確実で激変する環境の中でしっかりと変化に対応して生き残り競争優位を確立し目標を達成していく企業のためのリスクマエジメントであるERMに関心がある経営者・管理者・ビジネスパースンには、読んで頂きたい一冊です。

内部統制とERM 透明性を高め、説明責任を果たす

かんき出版

発売日：2008-05-13

発送時期：通常24時間以内に発送

ランキング：69359

なお本書の概要目次は、以下の内容です。
第1章持続的成長を脅かす新たなリスクとは?
1. 経済のグローバル化とリスクの多様化・複雑化
2. 不祥事の発生と法規制強化
3. 加速する会計基準の国際的な統合
第2章新たなリスクにどう対応するか
1. コーポレートガバナンスを支える
2. 企業不祥事を予防する
3. コンプライアンス・CSRに応える
4. 適正な財務報告を支える
5. 会社法が期待する内部統制・リスク管理
6. 経産省、東証、日本経団連が期待すること
第3章トップダウンによる、変化への全社的な対応
1. 変化にトップダウンで対応する
2. 全社的な視点で対応する
3. ERMの取り組み状況と進化への道
第4章内部統制はERMの基盤
1. COSOモデルの誕生
2. 内部統制の目的を理解する
3. 内部統制の構成要素を知る
4. 内部統制にどう立ち向かうか
5. 内部統制の限界を知る
6. 内部統制構築のロードマップ
第5章財務報告のみの内部統制で終わらせない
1. 金融庁がめざす内部統制の強化
2. アメリカの取り組みから学ぶこと
3. 内部統制プロジェクトを効果的に進める
4. 内部統制を効果的に評価する
5. 内部統制の不備に対応する
6. 内部統制の付加価値を高める
7. 内部統制からERMへ
第6章 ERMを導入・強化する
1. ERMの導入前に考えるべきこと
2. COSOのERMフレームワーク
3. ERMの導入に向けて
4. ERMの導入ステップ１：全社的リスクの評価①
5. ERMの導入ステップ１：全社的リスクの評価②
6. ERMの導入ステップ１：全社的リスクの評価③
7. ERMの導入ステップ１：全社的リスクの評価④
8. ERMの導入ステップ２：ギャップ分析①
9. ERMの導入ステップ２：ギャップ分析②
10．ERMの導入ステップ３：継続的改善①
11．ERMの導入ステップ３：継続的改善②
第7章内部統制・ERMの品質をモニタリングする
1. 自己評価の意義と効果
2. 内部監査と内部統制・ERM
3. 監査役・監査委員会と内部統制・ERM
4. 外部監査人による内部統制監査
第8章 ERMの将来ビジョン
1. パフォーマンスを向上させる
2. 企業の意志決定に係るERM
3. M&Aにおけるリスクマネジメント
4. 競争優位の確立
おわりに－ERMの活用から企業価値向上へのロードマップ

（広告）

タグ: 内部統制 ERM 全社的リスクマネジメントリスクマネジメント神林比洋雄

リスク過敏の内部統制はこう変える!

日本版SOX法に基づき、粉飾決算などの不正会計の防止を目的とした法律である内部統制報告制度が平成20年4月1日開始する事業年度から適用されます。

この内部統制報告制度は、すべての上場企業に対し、財務報告の健全さが問われているもの。経営者による社内管理体制の自己点検を義務づけるものです。

この内部統制についてこれまでに各社とも入念な準備を進めてきたとされていますが、万が一にも上場廃止という伝家の宝刀が振り下ろされることを警戒し“リスク過敏”に陥っている事例もみられ、依然として現場での混乱を抱えている実情と言われています。

このような背景から、3月には、金融庁による「内部統制報告制度に関する11の誤解」と呼ぶ文書も公表されています。

日経産業新聞（2007-10）の日本の人気講師ランキングのCSR・リスクマネジメント部門でトップ３にランク入りしている著者が、内部統制は経営そのもので、すでにやっているとし、内部統制について何をどこまでやれば良いかといった内部統制の本質を見極める目の『内部統制リテラシー』を高めることが大切と説いている本を紹介します。

企業価値を高めてくれる内部統制を本来の姿に戻すためにはどうしたらいいのか、内部統制に関わる「リスク過敏症」や社員が職場で抱いてしまった「やらされ感」は、如何にして解消すればいいかという処方箋を提示しています。

また多くの企業、社員が悩まされている内部統制を価値あるものに変化させるためのノウハウ等について明快に伝授しています。

本書：「リスク過敏の内部統制はこう変える!」です。

本書は、著者：戸村智憲氏にて、2008年4月に出版文化社より発行されています。

本書の帯には、以下のように書かれています。

「非まじめ」な

監査対応で、みるみる

楽になる

内部統制リテラシー

のすすめ

日経産業新聞

人気講師ランキング第3位

カリスマ講師が語る

効率的に内部統制とすすめる

奥義！

本書は、読者視点で書かれてあり、示唆に富んだ箴言の引用や身近なたとえ話なども交え、ここが重要と言ったポイントを強調しながらシンプルで分かり易く説得力に富んだ解説となっています。

本書は、5章からなりますが、各章の終わりには、「コラム１：同じ四文字の「内部統制」でもこんなに違う」といったトピックスを取り上げたコラム欄が設けられています。

第1章では、「内部統制は経営そのもの－すでにやっている内部統制」
として、『身の回りを「内部統制メガネ」で見てみよう』ではじまり、内部統制を読み解く力を養うコツは、現状の業務などで表が「戦略遂行・業務活動」、裏が「リスク管理・内部統制」という一枚のコインと気付くことだなどの含蓄深い話しが展開されています。さらに不祥事問題、COSOモデルについての解説などに続いて、内部統制のエッセンスとして、『戸村オリジナル「七文字式内部統制－リスク管理・内部統制の神髄』について紹介しています。すなわち、「内部統制で大切なことは、「『正直に』『正確に』『正式に』対応することを『適時適切』に行うこと」と述べています。七文字は、3つの『正』と『適切適正』とし、これを備えた経営活動こそ顧客の信頼が高まり、内部統制による競争優位を獲得できるとしています。

第2章では、「仏作って魂入れずの内部統制からの脱出」
として、ラーメン屋さんで内部統制を読み解く力を身につけるとし、コンサルティング会社についても自分の舌で良いコンサルタントを探すといった内容など内部統制リテラシーを高め、内部統制の基本や原点に戻ることの重要性を説いています。付け焼き刃にしない内部統制に取り組む上で、温故知新がキーワードとして、新しいことでなく、これまでやっていることを見直すことが大切と説いています。さらに監査法人・コンサルタントとのかしこい付き合い方について、監査法人との協議などの場面において、あなたの発言の語尾に『よ』と『ね』を付け加えることで、内部統制リテラシーも立場もがらっと良いものに変わると述べています。

第3章では、「幸せをもたらす内部統制へ」
として、何にでも重大なリスクありとして過剰な反応を示す『リスク過敏症』を取り上げ、自分で内部統制リテラシーを働かせ、受容可能なリスクのレベルを判断して対応する姿勢を『非まじめ』と述べ、『非まじめ』な対応の心得を説いています。ここに監査に合格するヒントがあるとしています。すなわち、非まじめにここまでは、リスクの回避・低減・転嫁する代わりに、ここからは、リスクを受容しようという内部統制対策のある程度の落としどころを付けておくのが大切と述べています。またＩＳＯや規格と内部統制との関係についても言及し、根っこも目的も同じとの「包容力」に相当する内部統制リテラシーによる相互理解が大切としています。またミッション経営による本当の内部統制を目指す考え方について解説しています。

第4章では、「内部統制「非まじめ」問答集」
として、内部統制の活動に関連して「フリーアドレス制」など実務的な８つの質問とそれに対する回答がＱ＆Ａとして掲載されています。

第5章では、「内部統制リテラシーに役立つエッセー」
として、内部統制リテラシーを高めるとの観点から身近な幾つかの社会現象に関わる含蓄に富んだ幅広いテーマのエッセーが掲載されています。

本書は、内部統制の本質は何かを見抜く力と筆者が定義する「内部統制リテラシー」を高めることに焦点をあて、本来、企業価値を高めてくれる内部統制についてどのように誤りの部分を正し、どのように価値あるものに転換していくべきか等のノウハウやポイントを分かり易く解説しています。

内部統制に関心があるビジネスパースンには、是非、読んで頂きたい一冊です。

リスク過敏の内部統制はこう変える!

出版文化社

戸村智憲（著）

発売日：2008-04-14

発送時期：通常3～5週間以内に発送

ランキング：86954

おすすめ度：

役立った

なお本書の概要目次は、以下の内容です。
第1章　内部統制は経営そのもの－すでにやっている内部統制
第2章　仏作って魂入れずの内部統制からの脱出
第3章　幸せをもたらす内部統制へ
第4章　内部統制「非まじめ」問答集
第5章　内部統制リテラシーに役立つエッセー

（広告）

1.国際出発地

2.目的地

3.往路出発日
4.復路出発日
5.座席クラス

6.大人 (12歳以上)	子供 (12歳未満)	幼児 (2歳未満)

タグ: 内部統制内部統制リテラシー戸村智憲リスク

図解これならわかる!内部統制のしくみと実務

『内部統制は、基本的に、業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守、資産の保全の４つの目的が達成されているとの合理的な保証を得るために、業務に組み込まれ、組織内のすべての者によって遂行されるプロセスをいい、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング（監視活動）及びIT（情報技術）への対応の6 つの基本的要素から構成される。（以降略）』

というのが「財務報告に係る内部統制の評価及び監査の基準」（2008-02-15：企業会計審議会）による内部統制についての定義になります。

この2008年4月からの開始事業年度から内部統制報告制度がスタートになります。

内部統制とはどんなしくみなのか、内部統制にＩＴを活用するにはどうしたらよいかなど内部統制の重要なポイントについてわかりやすく図解で解説している本を紹介します。

本書：「図解これならわかる!内部統制のしくみと実務」です。

「図解だから「内部統制」の重要ポイントが一目でわかる！」との副題がついています。

本書は、石島隆先生の監修にて、2008年1月にナツメ社より発行されています。

本書は、既刊『図解内部統制のしくみがまるごとわかる』について、2008年4月からの実施基準に対応した内容へと一新されたものです。

本書の表紙の下部には、以下のように書かれてあります。

日本版
ＳＯＸ法
実施基準
完全対応！

2008年４月開始事業年度

から適用の「内部統制」を

この一冊で徹底攻略！

本書は、内部統制の全体像とその要点について概観するといったスタイルでの監修者へのインタビューからはじまり、内部統制の組織での浸透度合いをチェックする経営陣10項目及び社員10項目のチェック表があります。さらに４つの章から構成された35問のQ&Aスタイルの解説で内部統制の仕組みと実務のポイントについて解説される構成になっています。

また1章～3章までの章の終わりには、「内部統制のはなし」のコラム欄が設けられ、「新会社法と内部統制の関係は？」などのテーマが取り上げられています。

なお巻末には、「財務項目に係る全社的な内部統制に関する評価項目の例」「財務報告に係る内部統制の評価及び監査の基準」の付録が添付されています。

Ｑ＆Ａ的なテーマの項目について見開きの2ページで右側のページでは、テーマの解説文がまた下部には、「これも知っておこう」としてそのテーマに関連するトピックス事項が取り上げられ、解説されています。また左側のページでは、そのテーマについて、イラスト、概念図、スキーム図、チャートなどの図表を用いてテーマのキーポイントについて説明を補完するといった構成になっています。

本書では、内部統制についてその仕組みと実務の重要なポイントについて図解で分かり易く解説しています。金融証券取引法に関わる「日本版SOX法」および会社法で求められる内部統制について全体的に概観できる良い入門書と思います。

図解これならわかる!内部統制のしくみと実務

ナツメ社

石島隆（監修）

発売日：2008-01-18

発送時期：通常24時間以内に発送

ランキング：189590

amazon.co.jpで詳細をみる (Amazy)

なお本書の概要目次は、以下です。
内部統制の構築は、リスクマネジメントの一環
1章なぜ今、内部統制が必要なの？
なぜ今、内部統制が必要なの？//～//企業が抱えるリスクって何？
2章そもそも内部統制って何？
内部統制を一言で言うと//～//ITへの投資は何をすればいい？
3章内部統制ってどんなしくみなの？
内部統制のしくみってどんなもの？//～//内部統制の限界って何？
4章内部統制にITを活用するには？
なぜIT化する必要があるの?//～IT業務処理統制って何するの？

内部統制

日本版SOX法

石島隆

（広告）

シマンテック製品の更新はオンラインで簡単手続き

タグ: 内部統制リスクマネジメント日本版SOX法石島隆

デュアルコアCPU、ビデオカード、1GBメモリ、OS 全部付いて￥69,800！

実務で使える内部統制の構築・評価Ｑ＆Ａ

金融証券取引法による内部統制報告制度に基づく内部統制報告書の提出が（2008年4月1日以降に開始する事業年度において）義務づけられました。

これに対応して企業会計審議会から、内部統制基準及び実施基準が公開されています。

この内部統制基準の解説から、実務上の対応、さらには留意すべき点などについてＱ＆Ａ形式により分かり易く解説している本を紹介します。

また、実務に直接活用でき利用度が高いと思われる「『全社的な内部統制の質問箱』の作成ガイダンス」が巻末に添付されています。

本書：「実務で使える 内部統制の構築・評価Ｑ＆Ａ」です。

本書は、沢田昌之氏による監修、ならびに小松博明氏及び鈴木裕司氏による編著にて、2007年5月に中央経済社より発行されています。

本書の帯には、以下のように書かれてあります。

「実施基準」完全対応

『「全社的な内部統制の質問書』

作成ガイダンス」付！

本書の「はじめに」で監修者は、金融証券取引法の成立の背景のもと2007年2月に公開された企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準ならびに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について」について、内部統制の構築や評価を進める上で、上記の内部統制基準や実施基準は抽象的な部分も多く、実務上の具体的な対応について悩まれる方々も少なくないのではとし、内部統制には、「実務の有効性及び効率性」、「財務報告の信頼性」、「事業活動に関わる法令等の順守」、「資産の保全」の４つの側面があるが、特に金融証券取引法の内部統制では、『財務報告の信頼性』に注力しているとした上で、本書の意図する点について以下のように述べています。

「本書は、内部統制構築プロジェクトメンバー、経理担当者、内部監査人等を対象として、来る財務報告に係る内部統制の評価および監査制度への対応にあたって、新しい内部統制基準や実施基準を説明するだけでなく、実務上の対応・留意点についてＱ＆Ａ方式を用いることで、できる限り平易に解説するよう努めています。」

本書は、10章より成り、73問のＱ＆Ａで構成されています。

　また章の途中には、Ｑ＆Ａに関連する「ITに係る全般統制の評価の省略」などの2,3のコラムが挿入されており、さらに内容の理解を高められるように工夫されています。

　さらにＱ＆Ａについても、2章以降については、強調された質問欄の直下にその回答のポイントについて箇条書きでまとめられた後に回答が続くという展開でＱ＆Ａが進められていて、概念図、フロー図、一覧表、チェック表など多くの図表を用いて非常に分かり易いものとなっています。

第1章では「内部統制報告制度の概要」
では、財務報告に係る内部統制の評価及び監査の基準ならびに財務報告に係る内部統制の評価及び監査に関する実施基準についての概要が解説されています。「Q1-01：内部統制報告制度の導入経緯」から「Q17：監査人による内部統制監査制度」まで17のＱ＆Ａが取り上げられています。

第2章では、「内部統制の評価の範囲」
として、内部統制の評価範囲について「Q2-01：財務報告の範囲」など４つのＱ＆Ａが取り上げられ解説されています。

第3章では、「リスクの評価と対応」
として、リスクの評価と対応の必要性・重要性から全体的なリスク評価の流れと手順について「Q3-01：虚偽記載リスク」など5つのＱ＆Ａが取り上げられ解説されています。

第4章では、「全社的な内部統制」
として、全社的な内部統制の重要性から具体的な評価方法ならびにその手順について、「Q4-01：全社的な内部統制の重要性」など9つのＱ＆Ａが取り上げられ解説されています。

第5章では、「決算・財務報告プロセス」
では、財務報告の信頼性に関わる決算・財務報告プロセスの特長を解説すると共にそのプロセスの整備・運用状況の評価の留意点などについて、「Q5-01：決算・財務報告プロセスの内容」など7つのＱ＆Ａが取り上げられ解説されています。

第6章では、「決算・財務報告プロセス以外の業務プロセス」
として、決算・財務プロセス以外の業務プロセスの整備・運用状況の評価について、「Q6-01：業務プロセスの内容」など7つのＱ＆Ａが取り上げられ解説されています。

第7章では、「ITに係る業務処理統制」
として、決算・財務プロセス以外の業務プロセスの整備・運用状況の評価で業務プロセスのうちITに係る業務処理統制について取り上げ「Q7-01：ITに係る業務処理統制の内容」など4つのＱ＆Ａにより解説しています。

第8章では、「ITに係る全般統制」
として、IT全般統制の位置づけを明確化すると共に、その評価方法について「Q8-01：ITに係る全般統制と業務処理統制の関係」など8つのＱ＆Ａにより解説しています。

第9章では、「不備と欠陥」
として、内部統制の評価の結果、見出された不備と重要な欠陥の内容について取り上げ「Q9-01：内部統制の不備および重要な欠陥の内容」など6つのＱ＆Ａにより解説しています。

第10章では、「その他の実務上の留意点」
として、その他の実務上の留意点について「Q10-01：既存文書の利用」など4つのＱ＆Ａにより解説しています。

また巻末資料として実用的に活用度が高いと思われる「「全社的な内部統制の質問書」作成ガイダンス」が添付されています。また「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書)」も掲載されています。

実務で使える内部統制の構築・評価Q&A

中央経済社

小松博明（編さん）鈴木裕司（編さん）

発売日：2007-05

発送時期：通常2～3日以内に発送

ランキング：110860

amazon.co.jpで詳細をみる (Amazy)

なお本書の目次は、以下の内容です。
第1章内部統制報告制度の概要
第2章内部統制の評価の範囲
第3章リスクの評価と対応
第4章全社的な内部統制
第5章決算・財務報告プロセス
第6章決算・財務報告プロセス以外の業務プロセス
第7章 ITに係る業務処理統制
第8章 ITに係る全般統制
第9章不備と欠陥
第10章その他の実務上の留意点
巻末資料

（広告）

国際規格による情報セキュリティの保証手法―CC V3、ISO27002、ISO27005のポイントと具体例 (情報セキュリティライブラリ)

タグ: 内部統制金融証券取引法内部統制報告制度決算・財務報告プロセス

この記事のURL │Comments(0) │TrackBack(0)

国際規格による情報セキュリティの保証手法

現在は、独立行政法人情報処理推進機構の情報セキュリティ認証室室長でＩＳＯの「セキュリティ評価基準」に関わる国際標準化活動に参画されるなど多年にわたり情報セキュリティの第一人者として関わってきた著者：田渕　治樹氏が、情報セキュリティに関する国際規格であるCommon Criteria V3（ISO/IEC15408）、ISO/IEC27002、ISO/IEC FCD27005にもとづくセキュリティ機能の保証手法を、具体例とポイントを挙げて詳しく分かり易く解説している本を紹介します。

本書：「国際規格による情報セキュリティの保証手法」です。

「CC V3、ISO27002、ISO27005のポイントと具体例」との副題が付いています。

本書は、著者：田渕治樹氏にて、2007年6月に日科技連出版社より発行されています。

同社の【Information Security Library】の一冊になります。

本書の帯には、以下のように書かれてあります。

「内部統制、

個人情報保護に必須！

情報セキュリティの第一人者がそのハウハウを公開

保証のある情報セキュリティを確保する方法がこの一冊でわかる！」

　本書では、製品や情報システムに装備されている安全（セキュリティ）機能がいざというときに動作するか？

もともと必要なセキュリティ機能が製品やシステムに備わっているのか？

これらのセキュリティ機能が正常に動作するはずということをどのようにして評価し、検証したらよいか？

といった情報セキュリティに関わる読者の疑問について、解消してくれるよう情報セキュリティに関する国際規格であるCommon Criteria V3（ISO／IEC15408）、ISO／IEC27002、ISO／IEC FCD27005にもとづくセキュリティ機能の保証手法について、開発者、運用者、評価者やレビュアー、調達に当たる発注者までの読者の立場に応じた活用方法も考慮され、具体例とポイントを挙げて、筆者の多くのノウハウを交えて詳しく解説しています。

また上記の規格に関する部分では、【要求事項】、【ガイダンス】（規格を解釈する上での考え方や作成時の推奨例を記載）、ポイント（特に箇条書きで枠内で括って記載）といった要領でその解説が進められています。

本書は、４部から構成されています。

第Ⅰ部では、「情報セキュリティ機能の保証」
として、３つの章から成ります。すなわち、セキュリティ保証の必要性から始まり、そのセキュリティ保証を確保する本書の全貌の解説に続いて、リスク管理についての概説から用語の定義、リスク管理のプロセス（ISO/IEC FCD 27005 情報セキュリティリスク管理）に基づくリスクの評定、セキュリティ対策の策定）、ISMSの解説などここでは、セキュリティ保証および情報セキュリティ評価認証制度などの概要が解説されています。

第Ⅱ部では、「セキュリティ目標」
として、９つの章から成ります。ここでは、Common Criteria V3（ISO／IEC15408）のパート１：「情報セキュリティ評価基準」に基づくセキュリティ目標（以下STと略）の設定について、STの位置づけから始まり、CC（Common Criteria for Information Technology Security Evaluation）評価保証レベル（EAL）、CEM、TOE、識別などのSTの概要の解説に続けて、以降、章タイトルのみ紹介するとST作成、ST概説、適合主張、セキュリティ課題定義、セキュリティ対策方針、拡張コンポーネント定義、セキュリティ要件、TOE要約仕様などが解説されています。

第Ⅲ部では、「セキュリティ機能と機能用件」
として、Common Criteria V3（ISO／IEC15408）のパート２：「情報セキュリティ評価基準」に基づくセキュリティ技術対策について、第1章は、セキュリティ機能と機能要件の概説が記載されていますが、以降の章では、各技術を章立てて解説しています。ここでは18の章から成ります。セキュリティ監査、利用者の識別から、送受信否認拒否、セキュリティ管理までが解説されています。各章において、とくに機能仕様の策定の際に考慮すべきポイントについて「機能仕様のポイント」として記述されています。

第Ⅳ部では「セキュリティ機能の開発と運用」
として、CEM（Common Evaluation Methodlogy）：情報セキュリティの評価方法に基づく、セキュリティ保証の評価について、7つの章から構成されています。ここでは、セキュリティ機能の開発と運用の概説に始まり、保証のアプローチ、開発、情報セキュリティに関する課題の解決ができることを検証するテスト、残存する脆弱性に問題がないことを検証する脆弱性認定、TOE（評価対象）をセキュアな状態で利用できることを検証するガイダンス、TOEライフサイクルにおいてセキュリティの維持を検証するライフサイクサポート等について章立てて解説しています。

なお以下の付録が添付されています。
付録Ａ：情報セキュリティ管理機能コンポーネント（ISO/IEC 27002:2005規格を参考に情報セキュリティの管理機能コンポーネントをチェックリスト的に利用可能としたもの）。付録Ｂ：セキュリティ脅威とセキュリティ対策方針事例（セキュリティ対策方針について抑止、予防、検出、回復の段階についてのマトリックス表としてまとめたもの）。付録Ｃ：情報処理製品／システムの脆弱性識別とその対策事例。付録Ｄ　セキュリティ対策と機能要件。付録Ｅ：セキュリティ評価基準で使用される用語

日科技連出版社

田渕治樹（著）

発売日：2007-06

発送時期：通常3～5週間以内に発送

ランキング：63448

なお本書の目次は、以下の内容です。
第Ⅰ部　情報セキュリティ機能の保証
第Ⅱ部　セキュリティ目標
第Ⅲ部　セキュリティ機能と機能用件
第Ⅳ部　セキュリティ機能の開発と運用
付録Ａ　情報セキュリティ管理機能コンポーネント
付録Ｂ　セキュリティ脅威とセキュリティ対策方針事例
付録Ｃ　情報処理製品／システムの脆弱性識別とその対策事例
付録Ｄ　セキュリティ対策と機能要件
付録Ｅ　セキュリティ評価基準で使用される用語

（広告）

タグ: 情報セキュリティ CCV3 ISO15408 ISO27002

この記事のURL │Comments(0) │TrackBack(0)

内部統制の知識

内部統制に関する本が多数発行されています。新書版とコンパクトながら、充実した内容で、ビジネスパーソンを対象に内部統制の定義にはじまり、構築プロセス、経営者の評価、そして外部監査の内容まで、「何をするべきなのか」を図表など使いながら分かり易く、体系的に解説している本を紹介します。

本書：「内部統制の知識」です。

本書は、著者：町田　祥弘先生（青山学院大学大学院会計プロフェッション研究科教授。日本監査研究学会幹事、企業会計審議会監査部会および内部統制部会専門委員ほか）にて、2007年3月に日本経済新聞出版社より日経文庫の一冊として発行されています。

本書の帯には、以下のように記載されています。

「2007年2月公表

実施基準に

完全対応！！

全上場企業に対して2008年度より導入

内部統制の定義から構築プロセス、経営者の評価、そして

外部監査の内容まで、知っておきたい知識を完全網羅。」

また表紙の折り返し部では、本書のポイントについて以下のように紹介しています。

2008年度から金融商品取引法にもとづく内部統制報告制度が開始されます。多くの企業がこの新しい制度への対応を求められています。
本書は内部統制の定義から、構築プロセス、経営者の評価、そして外部監査の内容まで、体系的にやさしく解説しています。
2007年公表の実施基準の内容に完全対応。図表なども使いながら、「何をするべきか」を明確に示します。
内部統制の限界や今後の課題についても紹介しました。

本書の「まえがき」で著者は、「内部統制の時代」について概観して、「会社法」、「金融証券取引法」などの法律だけでなく、これらの法律が規定された背景に、現代の企業社会に不正な財務報告や法令等への違反が相次ぐ状況のなかで、企業のリスクに対する事前対応のスタンスが問われるようになってきたことをあげています。また「企業活動の国際化や変化を背景として、今後、日本においても、経営者が自社の活動にかかるリスクを適切に把握し、自らの責任において自社の業容等に適した内部統制を構築することが重要になっていく」と述べています。
また本書は、一般のビジネスパーソンや学生等を対象に、「内部統制の基礎を解説したもので、喫緊の課題の内部統制報告について、2007-02公表の意見書に基づき、詳しく説明している」と述べています。

本書は、8つの章から構成されています。

［I］では、「内部統制とは何か」
として、内部統制の時代的背景とその位置づけなど、また会社法で規定される「内部統制」では何が求められているか、さらに金融証券取引法で求められる「内部統制報告」についてその背景から概要までを解説しています。

［II］では、「内部統制の変遷」
として、アメリカにおける内部統制の歴史から、経営者の視点による内部統制に至るまでの概要を解説し、次いでCOSOフレームワークについて、COSOの意味から、その詳細とCOSOフレームワークの展開までを解説し、我が国の内部統制の展開を取り上げ、「監査基準」での内部統制の概念定義、経済産業省の報告書（リスク管理・内部統制研究会による「リスク新時代の内部統制-リスクマネジメントと一体となって機能する内部統制の指針-」などを解説しています。

［III］では、「アメリカにおける内部統制報告」
として、「エンロン事件とSOX法」について、SOX法の概要から内部統制報告制度の展開、その見直し（コスト負担への対応、中小企業への対応）の経緯について解説しています。

［IV］では、「内部統制の基本的枠組み」
として、「内部統制報告の定義と目的」からその基本的な枠組み等について解説し、内部統制の基本的要素の統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応などの要素を解説し、さらに内部統制の限界として、「リスクが受容可能なレベルまで低減できるという合理的保証をもたらすもの」とし、その限界について言及し、外部監査の観点で内部統制の評価が行われると、限界は、軽減または解消されると解説しています。

［V］では、「内部統制の構築プロセス」
として、内部統制の構築の目的と範囲、財務報告に係る内部統制構築の要点、さらに内部統制構築の事例を交えて、基本的計画と方針の決定、整備状況の把握、把握された不備への対応と是正など解説しています。

［VI］では、「経営者による評価および報告」
として、内部統制の評価の意義、範囲などを解説し、各種の内部統制の評価の方法、内部統制報告について報告書の例をあげ解説しています。

［VII］では、「内部統制の監査」
として、内部統制監査の意義の解説に始まり、監査計画と評価範囲、さらには内部統制監査の実施の要領や留意ポイントなどを解説し、監査人の報告書の記載事項について解説しています。

［VIII］では、「今後の課題」
として、会社法と金融証券取引法の関係、企業内の不栄問題への重点の移動、日本企業の内部統制の実務面での課題、内部統制報告への準備のプロセスなどを解説し、「直面する内部統制報告制度への対応を超えた、企業の内部統制に関するビジョンが重要である」と結んでいます。

内部統制にまつわる全般的な概要が分かり易く解説されており内部統制に関心があるビジネスパーソンには、内部統制について網羅的に概観できるお奨めの一冊です。

内部統制の知識

日本経済新聞出版社

町田祥弘（著）

発売日：2007-03

発送時期：通常24時間以内に発送

ランキング：4299

おすすめ度：

内部統制のコンサイス版の優れもの。