ドクターQがお届けするIT統制ブログ　ITサプリ

日本版SOX法(金融商品取引法)と同様に、全ての上場企業に内部統制システム構築を義務づけている会社法。本シリーズでは、同法と実務ガイドラインにあたる会社法施行規則の中で、内部統制に関連する表記部分をピックアップしています。ではさっそく、今回の施行規則の解説を始めます。

◎会社法施行規則　第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制

子会社などを有している場合、内部統制は当該会社だけでなく、子会社等も含む企業グループ全体を対象として構築することが必須となります。グループ会社や子会社に対する統制活動として、関係会社管理規程やコンプライアンス行動憲章を整備するケースが大半ですが、このような単なるルールの整備だけでは、統制効果は不十分です。

やはりIT統制によって、物理的にグループ全社(子会社)に対してリスク管理とコンプライアンスを徹底させることが、不可欠となっています。第100条第1項第5号に関するIT統制は以下の5つを挙げることができます。

• グループ全社、クライアント(PC)脆弱性監査体制の整備
• IT統制によって、小規模企業にも内部統制を徹底
• 定期的なセキュリティレポートの監査と取締役会への報告体制整備
• グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロー
• 機密文書(ファイル)操作に関するモニタリング

それでは、第100条第1項第5号に関するIT統制を解説しましょう。

■グループ全社、クライアント(PC)脆弱性監査体制の整備

当該会社だけではなく、グループ全社に対して、リスク管理とコンプライアンス徹底の中心として、クライアント(PC)の脆弱性監査を導入することが極めて重要です。監査のポイントは、次の3つです。

◎ (OSやソフトなど)マイクロソフト関連のセキュリティパッチ適用状況
◎ WinnyやShare等の使用禁止ソフトのインストール状況
◎ ウイルス対策ソフトのパターンファイル更新状況

3つのポイントをクリアできれば、統制効果は確実にアップします。

■IT統制によって、小規模企業にも内部統制を徹底

グループ全社に内部統制を検討する場合、やはり小規模企業の負担コストへの配慮も必要となります。そこで低コストのASPサービスなどを積極的に活用し、全社に漏れの無い内部統制を導入することが重要です。

いかがでしょうか。
次回も引き続き、第100条第1項第5号に関する残り3つのIT統制の解説を行います。Dr.QがITサプリをお届けしました。 次回もお楽しみに。

クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。