■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 2/6
金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。
統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。
「財務報告に係る全社的な内部統制に関する評価項目の例/統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。
2)適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。
↓↓↓↓↓↓↓
上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。
- 重要アプリケーションへの不正アクセス防止の徹底
- 機密文書の不正活用防止の徹底
- 不正アプリケーション起動制御の徹底
- 個人情報ファイルの適正な管理状況の徹底
- クライアントPCのセキュリティポリシ遵守の徹底
6)経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。
↓↓↓↓↓↓↓
こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。
- ユーザID・パスワード管理状況解析レポート
- 重要アプリケーションへのアクセスログ解析レポート
- 機密文書の操作ログ解析レポート
- 不正アプリケーション起動記録解析レポート
- セキュリティソフトのパッチ適用状況解析レポート
- 個人情報ファイルの運用状況解析レポート
- セキュリティポリシ違反PCの接続拒否状況解析レポート
内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。
さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。
■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室
次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。
クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。
12月 20, 2006 内部統制, 情報漏洩対策, 法制度, 経済・政治・国際 | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/13134719
この記事へのトラックバック一覧です: ■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 2/6:
