ドクターQがお届けするIT統制ブログ　ITサプリ

さる11月21日、ついに金融庁から「財務報告に係る内部統制の評価および、監査
に関する実施基準（公開草案）」が公表されました。
12月20日までパブリックコメントの受付を行い、2007年1月には正式な実施基準
が公開されると予測されます。（公開草案:PDFをダウンロード）

実務基準・実施基準の正式公開を目前に、「現行システムの機能と運用方法で不
足している点」を確認することで、準備期間の作業ボリューム把握を目的に展開し
ている本シリーズ。4回目の今回は、「健全な企業風土づくりと定期監査」という
テーマで解説したいと思います。

まず、内部統制の本質を正確に把握する上で改めて確認しておきたいのは、「財
務報告書の信頼性向上は、内部統制が目指すひとつの具体的な達成目標に過ぎ
ない」ということです。内部統制の最大のテーマは、「不正のない健全な企業風土
づくり」です。

また、内部統制システムには、その有効性を随時発揮できる持続性も要求されま
す。そこで内部システムを考える上で重視すべき機能が、定期監査です。内部統
制の有効性を立証できる重要データを、定期的に算出できる監査機能が極めて
重要になります。

■内部統制の有効性を立証できるデータの一例

具体的に、内部統制の有効性を立証できるデータの一例としては、下記が必要と
なります。

◎ユーザID・パスワード管理状況解析データ
◎重要アプリケーションへのアクセスログ解析データ
◎機密文書の操作ログ解析データ
◎不正アプリケーション起動記録解析データ
◎セキュリティソフトのパッチ適用状況解析データ
◎個人情報ファイルの運用状況解析データ
◎セキュリティポリシ違反PCの接続拒否状況解析データ
◎セキュリティポリシ違反PCに対する適正化結果解析データ

こうしたデータを定期的に算出できる内部統制システムが、不正な行為を抑止し、
健全な企業風土をつくる重要な基盤となるのです。

さて、クオリティでは、内部統制システム構築に有効的なツールを多数ご用意して
います。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアに
なったでしょうか。一歩一歩着実に対策を講じ、強固な内部統制を確立してくだ
さい。もちろん、Dr.Qもしっかりお手伝いします。次回は、「不正対策の必要性」
に関して解説します。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制のホント4/5をお送りする予定でしたが、
内容を変更してお届けします。

　さる11月20日、BIGニュースが飛び込んできました。
金融庁で企業会計審議会内部統制部会の第15回部会が開催され、実施基準
の公開草案の正式版を数日中に公表することが明らかになりました!!　
　今後のスケジュールとしては、近日中の正式版公開後、パブリック・コメント
を受け付け、今年末から年明けに正式な実施基準として公開される予定です。

　実施基準は、日本版SOX法が要求する、内部統制の整備、評価、監査に
関する実務上のガイドラインです。これをシッカリと把握できれば、現行システ
ムの強化・整備ポイントがクリアにできます。
　そのためにも、まずは11月8日から金融庁のサイトで公開された、「実施基準」
の草案を把握することが大切でしょう。

公開された草案は、下記の3つから構成されています。

1. 内部統制の基本的枠組み（案）…30ページ
2. 財務報告に係る内部統制の評価及び報告（案）…33ページ
3. 財務報告に係る内部統制の監査（案）…25ページ

※金融庁／企業会計審議会第14回内部統制部会　議事次第へ

　しかし、トータル88ページを熟読する手間が……という方のために、上記1～
3が上手くまとめられた3ページの統括資料が公開されています。それぞれ
の案がフロー型式で各1ページにまとめられています。
※統括資料へ（PDF）

1. 財務報告に係る内部統制構築のプロセス
2. 財務報告に係る内部統制の評価・報告の流れ
3. 業務プロセスに係る内部統制の不備の検討

今回は「財務報告に係る内部統制構築のプロセス」をご紹介しましょう。

◎プロセス１／基本的計画及び方針の決定
経営者は、内部統制の基本方針に係る取締役会の決定を踏まえ、それを組
織内の全社的なレベル及び業務プロセスのレベルにおいて実施するため
の基本的計画及び方針を決定。
※経営者が定めるべき基本的計画及び方針としては、以下が挙げられる。

1. 内部統制の構築に当たる責任者及び全社的な管理体制
2. 構築すべき内部統制の範囲及び水準
3. 内部統制構築の手順及び日程
4. 内部統制構築に係る人員及びその編成、教育・訓練の方法等

◎プロセス2／内部統制の整備状況の把握
内部統制の整備状況を把握し、その結果を記録・保存

1. 全社的な内部統制について、既存の内部統制に関する規程、慣行及びそ
   の遵　守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存。
   ※暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化。
2. 重要な業務プロセスについて内部統制の整備状況を把握し、記録・保存。
   • 組織の重要な業務プロセスについて、取引の流れ、会計処理の過程を整理し、理解する。
   • 整理、理解した業務プロセスについて、虚偽記載の発生するリスクを識別しそれらリスクの財務報告又は勘定科目等との関連性、業務の中に組み込まれた内部統制によって十分に低減できるものになっているかを検討。

◎プロセス3／把握された不備への対応及び是正
把握された不備は適切に是正

　このフローだけを見ても分かる通り、多くの企業がシステムの強化や整
備を含め、今後の準備期間で想像以上に数多くジョブをクリアしなければ
いません。
一刻の猶予もありません。しかし最も大切なことは、内部統制を「面倒な
新法」として捉えるのではなく、「健全な企業風土づくり」の絶好のチャ
ンスとしてポジティブに捉えることです。そのためにも今回のシリーズ
「内部統制のホント」を通して、システムの今後の強化ポイントなどを把
握していただきたいと思います。

次回は、予定通り「内部統制のホント4/5：健全な企業風土づくりと定期監査」をお届けします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月7日、金融庁は同庁のWebサイトに日本版SOX法の実施基準案を
公開しました。基準確定までにはまだ若干の猶予はありますが、
内部統制システム構築の準備期間は確実に短くなっています。

本シリーズを通して、「内部統制とは何なのか」をいま一度正確に理解し、
「現行システムの機能と運用方法に何が足りないのか」をしっかり把握
することが大切です。さて3回目の今回は、「リスクマネジメントとしての
セキュリティ」に関して解説することにしましょう。

内部統制を通して、企業には「不正やごまかしを一切許さない、
社内管理・点検体制の整備」が要求されます。
こうした健全な企業風土を構築するために不可欠な要素が、
「リスクマネジメント」です。内部統制を成功させることは、
企業としてのリスクマネジメントを強化することに直結します。

リスクマネジメントという観点から、「セキュリティ」もまた内部統制に
おいて特に重視すべき点です。今回は、その中でも情報漏洩と
不正行為の原因となる可能性の高い、ユーザIDとパスワード管理に
フォーカスを当ててみましょう。

内部統制システムのユーザIDとパスワード管理で最も重要なのは、
ユーザの正当性確認機能を強化することです。

■ユーザIDとパスワード管理における主な強化機能

機能面では、具体的に下記のポイントを強化することが
内部統制システムに必須と言えます。

• ユーザIDとパスワードの発行・登録手続は、人事部門の情報とリンクさせる。
• 退職者のID・アクセス権の削除を、適切なタイミングで行う。
• 上記退職者のID・アクセス権の削除に関して、明確な社内ルールを作成。
  それに則って運用する。
• 複数の利用者間でユーザIDやパスワードで共有できない機能を整備する。
• パスワードファイルは、必ず暗号化して保存し、たとえシステム管理者で
  あっても、見ることができないようにする。
• 基幹システムへアクセス時、入力パスワードを一定回数間違えた場合は、
  アクセスできないように徹底する。
• 外部・内部から、アタックと思われる事象が発生した場合は状況が
  自動的にレポート化され、管理者に適宜報告される仕組みを整備する。

上記以外にも様々な機能強化が必要視されますが、こうした管理機能を
情報システムに追加採用することで、新法に対応した内部統制システムを
構築できると思われます。

クオリティでは、不要なアカウントや簡易なパスワードなどの脆弱性を
診断するツールをご用意しています。
テクノロジーサイトへぜひ一度アクセスしてみてください。

Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

当初は6月もしくは7月に公表と言われていた「内部統制報告実務基準・実施基準」
ですが、遅れに遅れて12月に一気に公表されるのでは……と予測されています。
しかし、公表のタイミングが遅れても内部統制システムの稼働日は待ってくれま
せん。システム管理者にとって、果たして12月の正式公表までに本当にやらなけ
ればいけないコトとは何なのでしょうか。

それは、日本版SOX法が要求する「内部統制とは何なのか」をいま一度正確に
理解し、「現行システムの機能と運用方法に何が足りないのか」をしっかり把握し、
準備期間の作業内容をクリアにすることです。
そこで、今回から5回にわたって新しいシリーズ
「内部統制のホント」をお届けします。

まず第1回目の今回は、「内部統制の本当の目的」です。

内部統制の目的のうち、最も注目されているのが「財務報告書の信頼性」でしょう。
しかし、ご存知の通り内部統制には4つの目的があります。

• 業務の有効性および効率性
• 財務報告の信頼性
• 事業活動に関わる法令などの遵守
• 資産の保全

そして、これら4つの目的には、共通のゴールがあるのです。
それは「不正やごまかしを一切許さない、社内管理・点検体制の整備」です。
これこそ、内部統制の本当の目的です。

不正を許さない健全な企業風土を持った企業からは、虚偽の財務報告書が
公表される可能性はありません。大切なのは、財務システムの強化だけを
重視するのではなく、内部統制システム構築を通して、健全な企業風土を
作りあげるという視点から社内システム全体を考えることです。

もはや社訓やルールでは、不正を許さない企業風土づくりは不可能です。
IT抜きには考えられません。性善説は過去のものと認識し、
誰もが不正行為を犯す可能性があるという前提のもと、
現在システムを客観的に見てみてください。

さて、現行システムの課題が少しでもクリアになったでしょうか。
ひとつひとつ着実に対策を講じ、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント2/5：モニタリングの重要性」に関して解説します。
以上、Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。