ドクターQがお届けするIT統制ブログ　ITサプリ

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。