ドクターQがお届けするIT統制ブログ　ITサプリ

先週、取材で某上場アミューズメント関連企業へお伺いしました。以前お伺いした時と明らかに違ったのは、営業セクションへのエントランス。1年前はITセクションだけだったのですが、営業セクションへのエントランスもICカード化され、入退室が管理されていました。お聞きしたところ、やはり内部統制の一環とのことでした。各社で内部統制の準備が着々と進められていますね。

さて、本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

個々の評価項目例は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な3項目目の例をご紹介します。

3）経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。

↓↓↓↓↓↓↓

ここで重要になってくるのは、社内に点在するクライアントPCに対する徹底的な管理と機密ファイルや重要アプリケーションに対する統制だと思われます。具体的には、次のような機能整備が不可欠になると考えられます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

内部統制では、このようなデータによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。

「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。

2）適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。

↓↓↓↓↓↓↓

上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

6）経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。

↓↓↓↓↓↓↓

こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。

• ユーザID・パスワード管理状況解析レポート
• 重要アプリケーションへのアクセスログ解析レポート
• 機密文書の操作ログ解析レポート
• 不正アプリケーション起動記録解析レポート
• セキュリティソフトのパッチ適用状況解析レポート
• 個人情報ファイルの運用状況解析レポート
• セキュリティポリシ違反PCの接続拒否状況解析レポート

内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月21日、金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公開されました。もう目を通されましたか？　トータル93ページにわたって、企業内でどのように内部統制を導入していくべきかが具体的に解説されています。しかし、日々多忙をきわめるシステム管理者のみなさんが、全ページを熟読するのは至難のワザ。そこで、今回から「公開草案を通して理解すべき、内部統制のポイント」と題して、新たなシリーズをスタートさせたいと思います。

本シリーズのポイントは、公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」です。内部統制の5つの基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応それぞれに関する評価基準が記述されています。その評価項目を読み解くことで、情報システムの整備・強化ポイントを把握することができます。それではさっそく、シリーズ1回目として「モニタリング」に関する評価項目例を読み解いていきましょう。

「財務報告に係る全社的な内部統制に関する評価項目の例／モニタリング」には、下記の7つの項目があげられています。

• 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
• 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
• モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
• 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
• 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
• モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
• 内部統制に係る重要な欠陥等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。

社内における組織面での体制整備も必要ですが、やはり情報システムに要求される機能に注目したいと思います。ここで必要になるのは、社内の不正行為を見逃さないIT監査体制の整備です。もっと具体的に解説すると、下記のようなデータを定期取得できる体制を整備することが重要になると思われます。

• ユーザID・パスワード管理状況解析データ
• 重要アプリケーションへのアクセスログ解析データ
• 機密文書の操作ログ解析データ
• 不正アプリケーション起動記録解析データ
• セキュリティソフトのパッチ適用状況解析データ
• 個人情報ファイルの運用状況解析データ
• セキュリティポリシ違反PCの接続拒否状況解析データ

内部統制では、上記のような解析データによって、有効性の立証が求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　2007年1月の正式公開が予想される、内部統制報告実務基準・実施基準。もは
や、一刻の猶予もありません。しかし、外部の監査法人に対する過度な期待は、
厳禁です。内部統制システム構築をアウトソーシングした結果、「財務報告書
の信頼性向上」という単に一つの目標達成をテーマにした内部統制システムに
なってしまうことが予測されます。

本シリーズで解説してきた通り、内部統制の最大のテーマは、「不正のない健
全な企業風土づくり」です。ITを有効活用し、新しい企業風土を根本からつく
りあげることが、最も大切なのです。そのためにも、いま一度「内部統制とは
何なのか」を正確に理解し、「現行システムの機能と運用方法に何が足りない
のか」をしっかり把握することで、準備期間の作業ボリュームを把握していた
だきたいと思います。そこで5回目の今回は、「不正対策の必要性」というテ
ーマで解説したいと思います。

不正は、企業にとってビジネスリスクです。現在、ご存知の通り社会の注目を
集めるような不祥事も連日報道されています。こうした不正の発生は、企業に
とって直接的な経済的損害を与えることはもちろん、市場での信用やブランド
イメージの低下といった間接的なダメージも与えます。こうした観点からも、
企業には内部統制システム構築を通して、しっかりとした「不正防止プログラ
ム」を構築する必要があるのです。

具体的に、不正防止プログラムは5つの要素によってサイクルを形成させる必
要があります。

1. 不正リスクの評価
2. 不正防止の統制環境の構築
3. 不正防止のための統制活動の整備・運用
4. 不正対応における情報の伝達と共有
5. 不正のモニタリング

では、もっと具体的に、不正防止プログラムにおいて重要になるデータをピッ
クアップしてみましょう。

• 機密文書の操作ログ取得
• 重要アプリケーションへのアクセスログ取得
• 個人情報関連ファイルの運用状況監視情報取得
• 不正アプリケーション起動情報取得
• セキュリティポリシ違反PCの接続情報取得
• セキュリティソフトのパッチ適用情報取得

上記のようなデータ取得が必要になることを考慮すると、現行システムに何が
足りないのか、その差分がクリアになるのではないでしょうか。

さて、クオリティでは、こうしたデータ取得に有効的、つまり内部統制システ
ム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に
フォーカスを当てた特設サイト「内部統制Ｑ救室」もオープンしましたので、
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリア
になったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。