ドクターQがお届けするIT統制ブログ　ITサプリ

4月から、いよいよ新年度。上場企業との新たなビジネスチャンス獲得を目指して、現在積極的に営業活動されている中小企業の方も大変多くいらっしゃるでしょう。そこで今回から新シリーズをスタート。「内部統制」を中心に、上場企業を取り巻く環境を解説し、中小企業はどのように対応していければいいのか、そのポイントも分かりやすく解説していきます。

第1回のテーマは「上場企業との取引におけるJ-SOXの影響」です。

◎上場企業との取引におけるJ-SOXの影響

■2008年は、J-SOX元年

J-SOX(ジェイソックス)の正式名称は、金融商品取引法。日本版SOX法とも呼ばれます。この法律が、いよいよ2008年4月からの新年度に対して適用されます。同法は、全ての上場とその連結子会社に対して、「内部統制の強化」を要求しています。内部統制の強化に対する上場企業の取り組みが、ビジネス環境をいま大きく変えようとしているのです。

■さらなる厳格化が進む、委託先選定基準

今後、上場企業が内部統制の強化を進める中で一層重要視されるのが、委託先管理です。委託先管理とは、外部業者が適切に業務を遂行していることを監督すること。J-SOXが適用される2008年度から、選定基準が厳格化されるケースが激増するでしょう。現在、上場企業と取引実績のある企業であっても、新年度からの選定基準では除外される可能性もあります。いち早く対策を講じることが重要です。

次週は、委託先選定のポイントと、その対策についてご紹介します。

クオリティでは、日本版SOX法が要求する内部統制に活用できる
ツールを幅広くご用意しています。詳細はクオリティ テクノロジーサイトでご確認ください。

御社が取り組むべき、会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントをピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説している「IT統制de会社法対策」シリーズ。

今週は「会社法施行規則　第100条第3項第4号」の「その他監査役の監査が実効的に行なわれることを確保するための体制」について具体的な統制活動をご紹介します。

■クライアントPC操作ログ収集体制整備

監査役の職務(内部監査部門)が、より効果的に機能するために必須となるのが、クライアントPC操作ログ収集機能。最低でも、以下にピックアップするログの収集が必須となります。

◎ プロセス起動(アプリケーション起動)に関する記録
◎ ファイルへのアクセス記録
◎ Webアクセス行ったURLの記録
◎ ファイル作成や削除に関する記録
◎ 印刷を行ったドキュメントとプリンタの記録
◎ アクティブウィンドウの記録
◎ 送受信を行ったメールの記録と内容
◎ クリップボードにコピーを行ったファイル・文字列の記録
◎ FTP操作コマンドとパラメータに関する記録
◎ 定期取得を行った画面コピーと、Print Screen押下時の内容の記録
◎ ユーザがログオンを行った際の記録

上記11の操作ログを、継続的に収集するシステム体制を整備する必要があります。


■セキュリティレポート作成体制整備

収集した操作ログをセキュリティレポート化して、定期的に分析できる体制を整備する必要があります。クライアントPC操作ログと連動して、特に以下の4つのセキュリティレポート作成が必須となるでしょう。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況

こうしたレポートを客観的に分析することで、リスクの予見も可能となります。


■収集ログ・セキュリティレポート分析結果に応じたモニタリング強化機能

収集された操作ログとセキュリティレポートの定期的な分析結果に応じて、個々のクライアントPC利用者を、特定グループなどに指定。収集ログを強化できる体制などを整備することが重要です。こうした体制を整備することで、精密なリスク予見が可能となり、同時に危険な利用者を確実に低減できます。
 
いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。
詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

2008年は、いわば「IT統制元年」。特に上場企業には、J-SOX法の内部統制、そして会社法の内部統制の2法への対応が要求されます。

そこで大切になるのが、2法が最重視する「内部統制」の本来の目的を再認識することです。そのためにも、ぜひ本シリーズの解説をお役立てください。

「IT統制de会社法対策」では、会社法と実務ガイドラインにあたる会社法施行規則の内部統制のポイントを毎週ピックアップし、各規則の統制ポイントと、必要と考えられるIT統制に関して解説しています。御社が取り組むべき、今後の強化ポイントがクリアになるはずです。

今週は「会社法施行規則　第100条第3項第4号」の「その他監査役の監査が実効的に行なわれることを確保するための体制」についてご紹介します。

◎会社法施行規則　第100条第3項第4号
その他監査役の監査が実効的に行なわれることを確保するための体制

内部統制システムにおける監査役の最大の責務は、社内のコンプライアンス状況を維持し、不正行為を根絶させ、監査の実効を高めることです。そのため、システムには専用のモニタリング体制と収集データの分析体制の双方の整備が極めて重要になります。

こうしたIT統制基盤の整備によって、監査役と取締役との定例会議、監査役と会計監査人との定例会議も、データとレポートをベースにした理論的な会議にすることができるでしょう。

次回は、「監査が実効的に行なわれることを確保するための体制」の具体的な統制活動についてご紹介します。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。

新年明けましておめでとうございます。
今年もITサプリは、情報システム担当者の方々のお役に立つ情報を更新していきます。ぜひご愛読のほどよろしくお願いします。

では早速、昨年末から引き続きご紹介している「◎会社法施行規則第100条第3項第3号」の「取締役及び使用人が監査役に報告をするための体制その他の監査役への報告に関する体制」に関する条項の解説を行います。

今回は4つある統制ポイントのうち、残りの３つをご紹介します。

■クライアントPCの脆弱性監査体制強化
セキュリティホールへと発展する可能性もあるクライアントPCの脆弱性。リスク管理の面からも極めて重要なIT統制のポイントと言えます。

◎ 規定違反ソフトウェアのインストールチェック
◎ IEのセキュリティ設定チェック
◎ ウイルス対策ソフトの定義ファイル更新状況チェック
◎ パスワードの運用状況チェック
◎ 共有フォルダ設定状況チェック

■コンプライアンス管理強化
クライアントPCの脆弱性監査と連動して重視すべきポイントが、システムを利用したコンプライアンスの徹底です。その中でも、以下の4法への対策は必須と言えるでしょう。

◎ 著作権法
◎ 個人情報保護法
◎ 不正アクセス禁止法
◎ 不正競争防止法

■定期的なセキュリティレポートチェック体制確立
監査役に対して、IT統制の運用状況をチェックできるセキュリティレポートを定期的に提出できる体制を整備する必要があります。

◎ Webアクセス状況
◎ 不審Webアクセス状況
◎ サーバファイルアクセス状況
◎ メール送信状況
◎ 禁止ソフトウェア導入状況
◎ 個人情報ファイル保有状況
◎ ファイル別個人情報ポイント状況
◎ クライアント脆弱性診断状況

こうしたレポートを客観的に監査役が分析することでリスク予見も可能となります。

いかがでしょうか、IT統制のポイントをご理解いただけたでしょうか。
クオリティでは、今回ご紹介したIT統制に即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

なお、現在クオリティでは、経済産業省「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)」をベース作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT 統制の到達度をチェックできます。ぜひトライしてください。