ドクターQがお届けするIT統制ブログ　ITサプリ

J-SOXの実質施行によって、企業は公認会計士など外部監査人との定期的な協議が不可欠な状況になっています。定期協議において、今後ますます果たすべき役割が大きくなるのが、実はシステム管理者。J-SOX監査用に、システム管理者が用意・提出すべき資料やデータがますます増加する傾向にあります。そこで、本シリーズでは公認会計士がJ-SOX監査で着目するポイントを分かりやすく解説しています。

『財務諸表監査の一環として、ITインフラの現状報告も必須に』のブログ掲載後、「そもそも……」という質問をたくさんいただきました。引き続き今回も、これらの質問に関して解説します。

(3)そもそも、公認会計士が考えるモニタリングとは

外部監査人のみなさんが考えるモニタリングとは、具体的に次の3点と考えられます。3点を正確に把握できれば、不正行為の抑止力も高く、モニタリングの有効性が高いと判断される傾向にあるようです。

• コンプライアンスマニュアルやセキュリティポリシなど自社規程に則って、社内のITシステムの開発管理、変更管理、運用管理、セキュリティ管理が定期的に自主点検されている。また、自主点検の結果が管理者に確実に通知され、是正・改善が行われている。
• システムに関する障害情報などが3ヶ月ごとに集計分析されている。また、結果が関係部署責任者に確実に通知され、是正・改善が行われている。
• アクセスコントロールツールや不正監視ツールによって取得された違反情報が定期的に集計分析されている。また、結果が関係部署責任者に確実に通知され、是正・改善が行われている。

(4)そもそも、統制効果を高める運用管理のポイントとは

内部統制の有効性を高めるためには、システムの運用管理において次のようなポイントを重視することが重要となります。同時に、これらは外部監査人のみなさんのチェックポイントでもあります。クリアできれば、内部統制の有効性が高く評価されるでしょう。

●システム運用管理

• システム変更担当部署とシステム運用部署が分離している。
• システム運用規程が策定されている。
• システム運用における規程遵守証跡が作成されている。
• システム利用者（＝社員および取締役）の不正行為などに対するオペレータ監視、またオペレータ監視に相当する監視プログラムが導入されている。
• 業務プログラムには全ての体系別にエラー処理、リカバリー処理が組み込まれている。
• バックアップデータが適切に保管されている。

●情報セキュリティ管理

• セキュリティポリシなど自社規程が策定されている。
• 開発環境、システム運用管理環境において、各担当者のユーザ権限が適切に管理されている。
• 本稼動しているシステムに対してクライアントPCがアクセスする際、ソフトウェアやOSのセキュリティレベルに応じてアクセス制限を行っている。
• 本稼動しているシステムに対してクライアントPCがアクセスする際、利用者の所属や業務などに応じてアクセス制限を行っている。

いかがでしょうか、公認会計士のJ-SOX監査のポイントをご理解いただけたでしょうか。なお、クオリティでは、今回ご紹介したポイントに即活用できる各ツールを幅広くご用意しています。詳細はテクノロジーサイトでご確認ください。

Dr.QがITサプリをお届けしました。 次回もお楽しみに。

日本版SOX法と並んで企業に内部統制を要求する新会社法。「真会社法の内部統制」では、新会社法が求める内部統制システムを、８つのポイントに分けてわかりやすくご紹介しています。御社の内部統制システム強化の参考に、ぜひご覧ください。