ドクターQがお届けするIT統制ブログ　ITサプリ

2008年4月からの内部統制システム本格稼動まで、残りわずか10ヶ月あまり。すでに多くの企業が、「不足部分」の強化段階に入っているようです。さて、そんなシステム強化を検討する上で非常に役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

今回も引き続き、追補版の付録として巻末に掲載され、豊富なシステム強化ポイントの例示が書かれた「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

6回目となる今回は、運用業務／ソフトウェア管理に関する管理項目と、その趣意、つまり目的に着目したいと思います。趣旨から、システム強化ポイントを具体的に解説しましょう。

ソフトウェア管理では、9つのポイントが取り上げられていますが、このうち、統制趣旨が明確でシステムの強化ポイントが分かりやすいのは(1)(2)(7)(8)(9)の5つです。その中から今回は、(1)と(2)に関するシステム強化ポイントを解説します。

(1)ソフトウェア管理ルールを定め、遵守すること。

◎趣旨(目的)
ソフトウェアの適切な利用及び不正防止のため、開発、運用及び保守業務に応じたソフトウェアの取扱い、管理の体制等をルールとして定め、遵守する必要がある。

◎システム強化ポイント
ここでのポイントは、自社開発されたソフトウェア、また市販されているソフトウェアの双方が対象となる点です。今後は、自社専用の業務ソフトに関しても、ITによる管理体制を強化することで不正防止を徹底し、同時にその管理体制を明文化し、社内に通達する必要があります。

(2)ソフトウェアへのアクセスコントロール及びモニタリングは、有効に機能すること。

◎趣旨(目的)
ソフトウェアの不正利用を防止するため、アクセスコントロール及びモニタリングが有効に機能していることを確認する必要がある。

◎システム強化ポイント
社内で利用される全てのソフトウェアを対象として、その利用状況を随時把握できる監査体制を整備することが要求されます。

◎誰が(どのクライアントPCが)
◎いつ
◎どのソフトウェアを
◎どのように操作したのか

その履歴を全て取得し、定期的に分析できる体制が必要となります。また、こうした体制が不正行為の抑止につながることは言うまでもありません。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひクオリティ テクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。ぜひトライしてください。