■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 4/6
上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。
本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。
シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5)、6)、7)の3項目について解説します。
5)統制活動は業務全体にわたって誠実に実施されているか。
6)統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7)統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。
↓↓↓↓↓↓↓
3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した6つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。
◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録
特に、項目6)には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。
内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。
さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。
■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室
次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。
クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。
1月 17, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 日本版SOX法, 法制度 | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/13541918
この記事へのトラックバック一覧です: ■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 4/6:
