ドクターQがお届けするIT統制ブログ　ITサプリ

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例（28ページ目）は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4）経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

• 機密ファイル操作ログ
• 個人情報関連ファイルアクセスログ
• 重要DBへのアクセスログ
• メール操作ログ
• アプリケーション起動ログ

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。