ドクターQがお届けするIT統制ブログ　ITサプリ

会社法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしている「IT統制de会社法対策」。

前回に引き続き、「会社法施行規則　第100条第1項第3号」の「取締役の職務の執行が効率的に行われることを確保するための体制」について解説します。

取締役の職務執行を効率的に進める体制を作るには、倫理規定やセキュリティポリシなどの遵守状況を定期的にチェックできるレポート作成が必要になります。内部統制システムの有効性を確認するためには、具体的に次のレポートが必要になると考えられます。

■クライアントPC脆弱性診断レポート

クライアントPCの脆弱性について、セキュリティポリシで定義されているレベルに制御されているか、その状況を数値で判断できるレポートが必要です。また、月別推移も重要です。

■禁止ソフトウェア導入状況レポート

Winnyなどのファイル交換(P2P)ソフトやゲームソフトなど、規定違反となる対象を明確に定義して、禁止ソフトがインストールされたクライアントPC数を判断できるレポートが必要です。ファイル交換(P2P)ソフトをはじめとする禁止ソフトのインストール数が毎月1件もなければ、内部統制システムの有効性を数値で立証できます。

■不審Webアクセス状況レポート

掲示板やオークションサイトなど、業務に関係のないWebサイトに対するアクセス状況を数値化することも、従業員の業務に対するモニタリングとして重要です。不審Webアクセス数が低減すれば、内部統制システムが確実に機能していることを立証できます。

■ホスト別個人情報ファイル保有状況レポート

個人情報関連ファイルをクライアントPCに保存することは、その行為だけで様々なリスクへ発展する可能性があります。個人情報ファイルを保有しているクライアントPCを特定し、その状況を数値レポート化することが重要です。この監査によって、リスクに発展する可能性の高いクライアントPCを発見し、対策をいち早く講じることが可能になります。

■メール送信状況レポート

どのメールアドレスに対して、どのような内容のメールが送信されているか、件数も含めて確認できるレポートが必要です。職務以外でのメール送信、不審なメール送信などもいち早く検出できます。

■FTPアップロード状況レポート

どのようなファイルがアップロードされているか、ファイル名と時間も含めてチェックできるレポートが必要です。不正行為の検出やリスクの予見も可能になります。

■サーバファイルアクセス状況

顧客情報や機密情報などサーバファイルへのアクセス状況を確認できるレポートも重要です。社内での重要ファイルの運用状況も確認できます。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。