ドクターQがお届けするIT統制ブログ　ITサプリ

内部統制システムの「本番稼動」まで、すでに11ヶ月あまり。本番前のテスト稼動期間に非常に役立つのが、本シリーズで取り上げている経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、システム強化ポイントの例示も豊富な「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)。

シリーズ5回目は、運用業務／データ管理に関する管理項目、全10項目のうち、(1)、(2)、(4)、(7)、(9)、(10)の5項目が対象になります。その中から今回は(1)と(2)に関するシステム強化ポイントを具体的に解説していきます。

(1)データ管理ルールを定め、遵守すること。

◎趣旨(目的)
データの誤処理防止、機密保護及び個人情報保護のため、開発、運用及び保守業務に応じたデータの取扱い、管理の体制等をルールとして明文化し、遵守する必要がある。

◎システム強化ポイント
管理体制の明文化は、単にルールを文章化するだけでは不十分です。企業はITによって、社内また社外との業務上でやりとりされる機密性の高いデータに対して、アクセス制御を行える業務環境を整備し、その機能を活用してのデータを管理していくことをルールに盛り込み、明文化することが重要です。同機能を活用し、開発中の新製品情報、設計データ、最新の顧客情報など、ファイル単体でアクセス制御を行い、ファイル受信者の操作権限を設定し、改竄や不正活用を防止することが要求されます。

(2)データへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
データへの不正アクセスの防止、不正利用の防止、機密保護及び個人情報保護のため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内また社外の取引先との間でやりとりされる機密性の高いデータに関しては、アクセス制御だけでなくモニタリング機能を付加することも重要となります。

つまり

◎誰が　◎いつ　◎どのファイルを　◎どう操作したのか　その操作記録を全て取得できるシステム環境を整備する必要があります。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。

次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、「付録2．システム管理基準の統制目標」の後半について解説していきたいと思います。(追補版のPDFでは、P99からはじまります)

後編でも、情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。さっそく3～5の項目の趣旨から、システム強化ポイントを解説しましょう。

(3)情報倫理規程を定め、関係者に教育及び周知徹底すること。

◎趣旨(目的)
組織体として、法令及び規範を遵守し適切に管理していくためには、組織体内の遵守すべきルールとして、情報倫理規程を定めるとともに、組織体内外の関係者に教育し、周知徹底する必要が必要である。

◎システム強化ポイント
定期的な社員向けのセミナーや文書配布では、リスク対策は不十分です。不正を予見し、該当する行為を行なう危険性のあるクライアント(社員)に対して常時教育と指導を徹底できるシステム体制が不可欠となります。具体的には、個人情報等の重要なデータをCD-RやUSBメモリにコピーして持ち出そうとしている行為が発見された場合、コピーを防御し、また、該当社員に対して個別に教育メッセージを表示させるなどの機能が不可欠になります。

(4)個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。

◎趣旨(目的)
法令及び規範を遵守していく上で、組織体内外の各種権利保護の観点から、個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関して、組織体としての考え方を明確にした方針を定める必要がある。

◎システム強化ポイント
方針の策定だけでは、不十分です。個人情報の保存状況、また運用状況を正確に把握できるシステム環境が必要となります。また、個人情報関連ファイルの社内の利用状況に関して、定期的にレポート化できる機能も必要でしょう。

(5)法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくために、特定した法令及び規範、また社内ルールとして策定した情報倫理規程等について、組織としての遵守状況を定期的に点検・評価し、指摘事項に対し改善のために必要な方策を講ずる必要がある。

◎システム強化ポイント
重視すべきは、P2Pソフトの起動状況に関する定期レポート作成と個人情報の保存・運用状況に関する定期レポートです。ITによって定期的に監査レポートが作成される体制の整備を行ないましょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、事例の豊富な追補版の付録である「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

今回は情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。追補版では情報戦略／コンプライアンスに関する管理項目について5つの項目が対象として掲載されていますが、今週は前編として対象項目の(1)と(2)について解説します。

(1)法令及び規範の管理体制を確立するとともに、管理責任者を定めること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として、法令及び規範の所管部署を明らかにし、管理体制を確立するとともに、管理責任者を定めて管理を推進する必要がある。

◎システム強化ポイント
管理体制は人員の配備だけでは不十分です。人員による管理体制強化は業務効率の悪化につながります。やはり、ITによって、社内(社員・業務)の法令と規範違反を許さない監査体制の構築が重要です。クライアントPCのファイル、操作、全てを管理可能にすることで、社内の全ての業務を監査体制下におくことが可能となります。

(2)遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として遵守すべき法令及び規範を明確に識別し特定することが必要である。その上で、特定した法令及び規範を関係者に知らせるための教育体制を確立し、関係者に周知徹底する必要がある。

◎システム強化ポイント
◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。この5法をITによって遵守させる、言い換えれば違反のできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。

これまの企業による情報流出事件は、PCの盗難や紛失によるものが多かったのですが、最近は意図的に情報を取得し、外部に流出させるといったケースが目立っています。

ITによってやコンプライアンスを実現するために公開された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、上記のような事件や不正行為を抑制することも目的の一部としています。

前回から、追補版の付録として巻末に掲載されている「付録2．システム管理基準の統制目標」に注目しています。
(追補版のPDFでは、P99からはじまります)

それでは今回から、いよいよ、システム強化ポイントの例示が豊富な「システム管理基準の管理項目と統制目標の対応」を解説していきたいと思います。

1回目の今回は、情報戦略／全体最適化／全体最適化計画に関する管理項目と、その趣意、つまり目的に着目したいと思います。注目したいのは、3つの項目。趣旨から、システム強化ポイントを具体的に解説しましょう。

■全体最適化計画の策定に関する管理項目と趣旨、および想定されるシステム強化ポイント

(1)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
経営戦略に基づいて組織体全体で整合性かつ一貫性を確保した情報化を推進するため、全体最適化計画は、方針及び目標に基づいて策定する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
全体最適化計画の目標は、数値ベースです。曖昧な表現では、監査法人に不適正と判断される可能性が高まります。また、全体最適化計画で設定された数値は、そのまま内部統制報告書の内容に直結します。そのためにも、まずは現状の社内のクライアントPCに対する監査を行ない、正確に状況を把握し、その結果に合わせて数値目標を設定すべきです。また、内部統制報告書作成の観点から、現状だけでなく、継続的にクライアントの各情報を取得し続ける必要があります。

(2)全体最適化計画は、コンプライアンスを考慮すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
関連法規、業界の自主基準等に違反しないよう、全体最適化計画は、コンプライアンスを考慮して作成する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
関連法規として、◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。
これらをITによって遵守させる、言い換えれば違反をできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

(3)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報化の費用対効果を高め、実効性のあるものとするために、全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にする必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
情報化投資を成功させるために必要なのは、IT資産管理ツールによる現状把握とインベントリ取得。そして定期レポートをベースにした、業務とクライアントPCのパフォーマンスの整合性分析です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。
クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した
「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。