ドクターQがお届けするIT統制ブログ　ITサプリ

これまの企業による情報流出事件は、PCの盗難や紛失によるものが多かったのですが、最近は意図的に情報を取得し、外部に流出させるといったケースが目立っています。

ITによってやコンプライアンスを実現するために公開された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)は、上記のような事件や不正行為を抑制することも目的の一部としています。

前回から、追補版の付録として巻末に掲載されている「付録2．システム管理基準の統制目標」に注目しています。
(追補版のPDFでは、P99からはじまります)

それでは今回から、いよいよ、システム強化ポイントの例示が豊富な「システム管理基準の管理項目と統制目標の対応」を解説していきたいと思います。

1回目の今回は、情報戦略／全体最適化／全体最適化計画に関する管理項目と、その趣意、つまり目的に着目したいと思います。注目したいのは、3つの項目。趣旨から、システム強化ポイントを具体的に解説しましょう。

■全体最適化計画の策定に関する管理項目と趣旨、および想定されるシステム強化ポイント

(1)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
経営戦略に基づいて組織体全体で整合性かつ一貫性を確保した情報化を推進するため、全体最適化計画は、方針及び目標に基づいて策定する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
全体最適化計画の目標は、数値ベースです。曖昧な表現では、監査法人に不適正と判断される可能性が高まります。また、全体最適化計画で設定された数値は、そのまま内部統制報告書の内容に直結します。そのためにも、まずは現状の社内のクライアントPCに対する監査を行ない、正確に状況を把握し、その結果に合わせて数値目標を設定すべきです。また、内部統制報告書作成の観点から、現状だけでなく、継続的にクライアントの各情報を取得し続ける必要があります。

(2)全体最適化計画は、コンプライアンスを考慮すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
関連法規、業界の自主基準等に違反しないよう、全体最適化計画は、コンプライアンスを考慮して作成する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
関連法規として、◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。
これらをITによって遵守させる、言い換えれば違反をできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

(3)全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
情報化の費用対効果を高め、実効性のあるものとするために、全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にする必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
情報化投資を成功させるために必要なのは、IT資産管理ツールによる現状把握とインベントリ取得。そして定期レポートをベースにした、業務とクライアントPCのパフォーマンスの整合性分析です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。
クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した
「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。