■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 05
会社法とその実務ガイドラインにあたる会社法施行規則の中で、特に内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。今回も引き続き 、「会社法施行規則 第100条第1項第1号」に関する統制ポイントと、必要と考えられるIT統制に関して解説を進めていきます。
◎会社法施行規則 第100条第1項第1号
取締役の職務の執行に係る情報の保存及び管理に関する体制
この規則を遵守するためには、下記の3つの統制ポイントがあり、それぞれにIT統制が必要です。
- 取締役の職務に関する重要情報の管理体制整備
- 取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立
- 取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立
その1については先週紹介しましたので、今回は残りの2と3の解説を行います。
2.取締役の法令違反、およびその可能性に関する事実および事項の監視・発見体制の確立
■IT統制①:取締役が利用するクライアントPCに対する脆弱性監査■
機密ファイルが集中する可能性が高い取締役のクライアントPCは、従業員以上の監査レベルで脆弱性監査を行う必要があります。特に重点的に取り組むべきポイントは下記の5つでしょう。
- 不正ソフトウェアの起動制御
- 不正ソフトウェアのアンインストール
- ウイルス対策ソフトウェアの定義ファイル更新管理
- 業務用ソフトウェアのセキュリティパッチ更新管理
- 業務用自社開発ソフトウェアのアップデート管理
■IT統制②:取締役が利用するクライアントPCに対するモニタリング■
内部統制システムを正常稼動させるためには、監査役のクライアントPCも例外ではありません。各情報(ファイル)に対してどのような操作を行ったのか、モニタリングして可視化する必要があります。全ての操作ログの収集が必須になると考えられます。
- アプリケーションの起動記録
- ドキュメントの参照記録
- Webサイトへのアクセス記録
- ファイルの操作記録
- eメールの送受信記録
- プリント出力記録
- アクティブウインドウタイトル記録
- FTPサイトへのアクセス記録
- クリップボードへの利用記録
- デスクトップ画面のスクリーンショット記録
上記10のログが収集されることで、各情報(ファイル)の利用状況と取締役の業務を全て可視化できます。万一の場合は、証拠として有効活用も可能となります。
3.取締役が職務上使用した情報に関して、監査部および監査役会などで定期的に分析できる体制の確立
■IT統制■
各取締役のクライアントPCから収集された各情報を、定期的にレポート化できる体制の整備が重要です。
- Webアクセス状況
- 不審Webアクセス状況
- サーバファイルアクセス状況
- メール送信状況
- 禁止ソフトウェア導入状況
- 個人情報ファイル保有状況
- ファイル別個人情報ポイント状況
- クライアント脆弱性診断状況
内部監査部、監査役からの要請に対して、速やかにレポートを提出できれば、リスクの最小化にも効果的です。
Dr.QがITサプリをお届けしました。 次回もお楽しみに。
なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。
10月 24, 2007 ■IT統制de会社法対策■ | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/16856199
この記事へのトラックバック一覧です: ■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 05:
