■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 11
新会社法では、全ての上場企業に内部統制システム構築を義務づけています。
本シリーズでは、会社法と会社法施行規則の中で、主に内部統制に関連する表記部分の解説を行っています。
◎会社法施行規則 第100条第1項第5号
当該株式会社並びにその親会社及び子会社から成る企業集団における業務の適正を確保するための体制
【第100条第1項第5号に関するIT統制例】
- グループ全社、クライアント(PC)脆弱性監査体制の整備
- IT統制によって、小規模企業にも内部統制を徹底
- 定期的なセキュリティレポートの監査と取締役会への報告体制整備
- グループ全社で共有する機密文書(ファイル) に関する厳密なアクセスコントロール
- 機密文書(ファイル)操作に関するモニタリング
前回に引き続き、第100条第1項第5号に関する残り3つのIT統制例をご紹介します。
■定期的なセキュリティレポートの監査と取締役会への報告体制整備
グループ全社、全クライアントPCの脆弱性に関するセキュリティレポートを定期的に監査する必要があります。また、同レポートを取締役でも定期的に監査する必要があります。セキュリティレポートによって、数値ベースで統制効果の分析が可能になります。また、監査法人の監査自体も円滑に行われると推測できます。
■グループ全社で共有する機密文書(ファイル)に関する厳密なアクセスコントロール
グループ各社で共有する機密文書は、電子ファイルでの配信と共有の徹底が必須です。
また、全てのファイルに対して厳密なアクセス管理が必要になります。
ポイントは、次の5点です。
- ファイル自体を暗号化
- 企業レベルに応じたファイル操作権限の設定
- 部署・社員に応じたファイル操作権限の設定
- 操作時における認証システムの導入
- ファイル自体の有効期限の設定
これにより機密文書の不正流出や不正利用などの可能性を確実に低減できます。
■機密文書(ファイル)操作に関するモニタリング
機密性の高いファイルに関しては、アクセスコントロールだけでなくモニタリング機能を付加することも重要となります。
- 誰が
- いつ
- どのファイルを
- どう操作したのか
などの操作ログを取得し、機密ファイルの利用状況を分析することが要求されます。
いかがでしょうか。
IT統制のポイントをご理解いただけたでしょうか。Dr.QがITサプリをお届けしました。 次回もお楽しみに。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。
なお、現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。
12月 5, 2007 ■IT統制de会社法対策■ | Permalink
トラックバック
この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/173353/17279185
この記事へのトラックバック一覧です: ■IT統制de会社法対策■
「内部統制システム構築の基本方針」新年度版作成に向けて 11:
