■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 5/6
いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。
そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。
さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例/“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1)、それから3)、4)の3項目です。
1)信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。
↓↓↓↓↓↓↓
情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。
◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得
などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。
3)内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4)経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。
↓↓↓↓↓↓↓
これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。
◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート
有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。
いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。
さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。
■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室
次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。
クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。
1月 24, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度 | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/13641488
この記事へのトラックバック一覧です: ■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 5/6:
