ドクターQがお届けするIT統制ブログ　ITサプリ

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、「付録2．システム管理基準の統制目標」の後半について解説していきたいと思います。(追補版のPDFでは、P99からはじまります)

後編でも、情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。さっそく3～5の項目の趣旨から、システム強化ポイントを解説しましょう。

(3)情報倫理規程を定め、関係者に教育及び周知徹底すること。

◎趣旨(目的)
組織体として、法令及び規範を遵守し適切に管理していくためには、組織体内の遵守すべきルールとして、情報倫理規程を定めるとともに、組織体内外の関係者に教育し、周知徹底する必要が必要である。

◎システム強化ポイント
定期的な社員向けのセミナーや文書配布では、リスク対策は不十分です。不正を予見し、該当する行為を行なう危険性のあるクライアント(社員)に対して常時教育と指導を徹底できるシステム体制が不可欠となります。具体的には、個人情報等の重要なデータをCD-RやUSBメモリにコピーして持ち出そうとしている行為が発見された場合、コピーを防御し、また、該当社員に対して個別に教育メッセージを表示させるなどの機能が不可欠になります。

(4)個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。

◎趣旨(目的)
法令及び規範を遵守していく上で、組織体内外の各種権利保護の観点から、個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関して、組織体としての考え方を明確にした方針を定める必要がある。

◎システム強化ポイント
方針の策定だけでは、不十分です。個人情報の保存状況、また運用状況を正確に把握できるシステム環境が必要となります。また、個人情報関連ファイルの社内の利用状況に関して、定期的にレポート化できる機能も必要でしょう。

(5)法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること。

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくために、特定した法令及び規範、また社内ルールとして策定した情報倫理規程等について、組織としての遵守状況を定期的に点検・評価し、指摘事項に対し改善のために必要な方策を講ずる必要がある。

◎システム強化ポイント
重視すべきは、P2Pソフトの起動状況に関する定期レポート作成と個人情報の保存・運用状況に関する定期レポートです。ITによって定期的に監査レポートが作成される体制の整備を行ないましょう。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。