ドクターQがお届けするIT統制ブログ　ITサプリ

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

リリースからわずか1ヶ月で、早くも内部統制に向けた情報システム強化のスタンダードになりつつある、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。

追補版は金融庁からリリースされている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」と比較して、統制活動に関する具体例が多数掲載されており、システム強化のポイントを明確に理解できます。そこでITサプリでは、追補版の各項目をさらに分かりやすく解説していきます。

シリーズ4回目の今回は、「③.IT全般統制／(3) 内外からのアクセス管理等のシステムの安全性の確保：②.アクセス管理等のセキュリティ対策」のポイントを解説しましょう。アクセス管理等のセキュリティ対策では、アクセス制御、パスワードの管理、ネットワークアクセスの制御、オペレーティングシステムのアクセス制御という、4つの対策が重視されています。追補版ではアクセス管理において想定されるリスクと、その対策としてIT統制(対応策)が豊富に例示されています(Ⅳ章33ページ(PDFの70ページ目)：【統制の例と統制評価手続の例】)。今回はその中でも、情報システムに対するニーズが明確な4つの例示に注目したいと思います。

■リスクの例(1)■
適切な認証がないと、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
すべての担当者の認証及びアクセス制御機能が存在し、アクセスが記録されている。

■リスクの例(2)■
担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データヘの改ざんや漏えいが起きる。

↓↓↓↓↓↓↓

○統制の例○
担当者のアカウントの申請、設定、発行、一時停止、廃止に関する手続が存在しており、手順に従って適時に処理されている。

■リスクの例(3)■
適切なアクセス制御機能がなく、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
アクセス権に関して適宜見直して、確かめるための統制プロセスが存在し、これに従っている。

■リスクの例(4)■
インターネットを利用する場合は不正侵入対策が実施されている。

↓↓↓↓↓↓↓

○統制の例○
電子商取引等にインターネット等外部のネットワークを利用する場合には、ファイアウォール、侵入検知システム等が用いられている。さらに、脆弱性評価の結果によるパッチ等の適切な統制が存在して、不正アクセスを防いでいる。

以上、4つの例示から、全社的なアクセスログの取得と、ID・パスワード管理、またクライアントPCに対する脆弱性監査というシステム強化のポイントが明確になったと思います。

そして、それら3つの統制活動の実行状況を定期レポート化できる体制の整備が不可欠であることが分かります。さらにに解説すると、下記の機能強化が要求されることが推測できます。

◎ファイル、アプリケーション、サーバに対するアクセスログ取得と、全クライアントPCの操作ログ取得
◎セキュリティポリシ違反のPC(未登録PC、私物PC含む)による基幹システムへのアクセス拒否
◎セキュリティポリシ違反PCを隔離して検査を行い、問題があれば治療できる、検疫ネットワーク機能
◎ID・パスワードの運用管理機能
◎OSのセキュリティパッチの漏れのないインストール
◎ウイルス対策ソフトの定義ファイルの漏れのないインストール

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の各ポイント解説を目的とした本シリーズ。先週に引き続き、今回も第Ⅳ章、「IT統制の導入ガイダンス」にフォーカスを当てたいと思います。

今回はⅣ章P27(PDFの64ページ目)に掲載されている、「3.IT全般統制／(2)システムの運用・管理／2構成管理」の解説です。
ここでの構成管理とは、情報資産の購買、設置、固定資産管理、廃棄等の統制結果を資産情報として管理することを意味します。情報システムの統制を間接支援する重要な要素として位置づけられています。追補版には構成管理に関する想定リスクとIT統制(対応策)が4つ例示されています。

■リスクの例(1)■
ソフトウェア、ハードウェア、アプリケーション・システム等が無断で設置・廃棄されることにより、誤処理やシステム停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
購買、設置、固定資産、廃棄等が適切に管理されている。

■リスクの例(2)■
変更が正しくシステム管理情報に反映されないために、システムの不整合が起きるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
変更管理の結果が、適時、構成管理に反映されている。

■リスクの例(3)■
管理期限の経過したハードウェア等の継続使用により、処理に誤りが起こるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
情報資産の有効期限が適切に管理され、更新される。

■リスクの例(4)■
許可されないソフトウェアの使用によってデータの改変やシステムの停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
IT資産を使用する従業員には、許可されたソフトウェア以外の使用を禁止する
(従業員のPCの特権IDやアドミニストレータ権限が禁止されている)。

4つの例示から、全社的なIT資産管理体制の導入が不可欠であることが分かります。同様に、全社のクライアントPCを随時モニタリングできるIT監査体制の確立も極めて重要になります。その他、リース切れなどの要因によって廃棄されるPCに対してハードディスクを暗号化するなどの対策も必要になります。具体的には、下記のような管理機能が必須になると考えられます。

◎管理外のPCがネットワークに接続した際のアラート
◎ソフトウェア利用状況の把握
◎禁止ソフトウェアの起動制御
◎業務用アプリケーションのバージョンの把握と、その統一
◎ハードディスクのメンテナンス時期のアラート
◎リース切れ目前のクライアントPCのアラート

さて、貴社のIT統制の導入準備は万全でしょうか？
クオリティでは、未登録PCの不正接続を検知する「eX IPD」や、禁止ソフトウェアの調査・起動制御を行う「QAW」など、IT全般統制に適したツールとベストなアドバイスをご用意しております。ぜひクオリティのテクノロジーサイトへ一度アクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

先週よりスタートした新連載「徹底解説!! 財務報告に係わるIT統制ガイダンス」では、経済産業省が公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)※以下、追補版」の解説をしています。それでは早速、解説に取り掛かりましょう。

追補版で着目すべきポイントは「IT統制の導入ガイダンス」です(PDF版のP38参照)。このページには、システム管理者にも非常に分かりやすくIT統制の解説が記されています。

今週は「IT統制の導入ガイダンス」の中でも、「3.IT全般統制／(2)システムの運用・管理／・運用管理」部分のポイントを解説します。

追補版では、システムの運用管理において想定されるリスクと、それに対するIT統制(対応策)が具体的に例示されています。数多くある具体例の中でも、ITサプリでは、対応策の実行が即可能な下記の2つに注目しました。

■リスクの例～その１～■
運用時の不正な操作等を発見できない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理について、企業にログ採取・分析についての方針があり、
それに基づいてログが採取されて、必要な項目がモニタリングされている。

■リスクの例～その２～■
情報システムが処理するデータの信頼性が保証されない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理のログが取得されて、ログファイルの完全性、正確性、
正当性を保証される(ログが改ざんされずに記録され、保管されている)。

これら2つの例示から、管理職や取締役まで網羅した、例外のない全社的なクライアントPCに対する操作ログの取得が、極めて重要であることが分かります。

誰が、いつ、何を、どうしたのか、それを全てログデータとして採取し、定期的にレポート化を行い、分析できる体制を整備することが要求されています。こうしたログ取得が、企業内の不正行為の抑止につながると考えられます。

さて、貴社では操作ログの取得は万全でしょうか？
操作ログ取得に最適なツールと、ベストなアドバイスをお探しなら、ぜひクオリティ テクノロジーサイトにアクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで現在公表中の「財務報告に係る内部統制の評価及び
監査に関する実施基準(公開草案)」。実施基準案に登場する「財務報告
に係る全社的な内部統制に関する評価項目の例」に着目し、そこでの評価
項目を通して、情報システムの整備・強化ポイントを把握することを目的に、
本シリーズを進めてきました。

シリーズラストとなる今回は、「ITへの対応」に関する評価項目をチェックした
いと思います。財務報告に係る全社的な内部統制に関する評価項目の例／
ITへの対応には、5項目があげられていますが、5項目の内、情報システムに
対して全社的統制に関するニーズが明確なのは、2）と4)です。

2）経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏ま
　えた方針を明確に示しているか。

↓↓↓↓↓↓↓

この項目では情報システムに対して、IT資産管理機能を要求していると考え
られます。具体例としては、下記のような情報を正確に把握した上で、内部
統制に関する方針を打ち出すことが要求されます。

◎ハードウエア情報収集
◎ソフトウエアのライセンス情報収集
◎使用者情報
◎購入（資産区分）情報

これらの情報が正確に把握できる、PC資産管理台帳をベースに方針作成を
スタートすることが重要です。やはり内部統制成功の第一歩はIT資産の棚卸
しである、ということがこの項目から把握できます。

4）ITを用いて統制活動を整備する際には、ITを利用することにより生じる新
　 たなリスクが考慮されているか。

↓↓↓↓↓↓↓

この項目では、情報システムに対して、社内に存在するITリスクを予測できる
監査レポートの作成機能が要求されていると考えられます。監査レポートに
は、具体的に下記のような内容が記述されることが必要となるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

これらの情報を把握することで、今後のITリスクの予測が容易になります。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例／“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1）、それから3）、4）の3項目です。

1）信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3）内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4）経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5）、6）、7）の3項目について解説します。

5）統制活動は業務全体にわたって誠実に実施されているか。
6）統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7）統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した６つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6）には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例（28ページ目）は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4）経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

• 機密ファイル操作ログ
• 個人情報関連ファイルアクセスログ
• 重要DBへのアクセスログ
• メール操作ログ
• アプリケーション起動ログ

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

先週、取材で某上場アミューズメント関連企業へお伺いしました。以前お伺いした時と明らかに違ったのは、営業セクションへのエントランス。1年前はITセクションだけだったのですが、営業セクションへのエントランスもICカード化され、入退室が管理されていました。お聞きしたところ、やはり内部統制の一環とのことでした。各社で内部統制の準備が着々と進められていますね。

さて、本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

個々の評価項目例は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な3項目目の例をご紹介します。

3）経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。

↓↓↓↓↓↓↓

ここで重要になってくるのは、社内に点在するクライアントPCに対する徹底的な管理と機密ファイルや重要アプリケーションに対する統制だと思われます。具体的には、次のような機能整備が不可欠になると考えられます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

内部統制では、このようなデータによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開されている「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」。本シリーズでは、同公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応、と内部統制の5つの基本的要素、それぞれに関する評価基準が記述されています。それらの評価項目から、情報システムの整備・強化ポイントを把握することを本シリーズの目標に設定しています。2回目となる今回は「統制環境」に関する評価項目例です。

「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」は、全部で13項目があげられています。個々の項目は金融庁のWebサイトをごらんいただくとして、今回は情報システムへのニーズが明確な、2項と6項に関して解説していきます。

2）適切な経営理念や倫理規程に基づき、社内の制度が設計・運用され、原則を逸脱した行動が発見された場合には、適切に是正が行われるようになっているか。

↓↓↓↓↓↓↓

上記の用件を満たすコンプライアンスを徹底できる統制環境を整備するため、情報システムには下記のような要求がされると思われます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

6）経営者は、問題があっても指摘しにくい等の組織構造や慣行があると認められる事実が存在する場合に、適切な改善を図っているか。

↓↓↓↓↓↓↓

こちらの場合、情報システムには、社内の不正行為を見逃さないIT監査体制の整備し、次のような監査サポートを定期的に作成することが、要求されると思われます。経営者は客観的な監査サポートをベースに、適切な改善策を講じる必要があるのです。

• ユーザID・パスワード管理状況解析レポート
• 重要アプリケーションへのアクセスログ解析レポート
• 機密文書の操作ログ解析レポート
• 不正アプリケーション起動記録解析レポート
• セキュリティソフトのパッチ適用状況解析レポート
• 個人情報ファイルの運用状況解析レポート
• セキュリティポリシ違反PCの接続拒否状況解析レポート

内部統制では、このようなレポートによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月21日、金融庁の企業会計審議会内部統制部会から「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」が公開されました。もう目を通されましたか？　トータル93ページにわたって、企業内でどのように内部統制を導入していくべきかが具体的に解説されています。しかし、日々多忙をきわめるシステム管理者のみなさんが、全ページを熟読するのは至難のワザ。そこで、今回から「公開草案を通して理解すべき、内部統制のポイント」と題して、新たなシリーズをスタートさせたいと思います。

本シリーズのポイントは、公開草案の中盤に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」です。内部統制の5つの基本的要素である、統制環境、リスクの評価と対応、統制活動、情報と伝達、モニタリング、ITへの対応それぞれに関する評価基準が記述されています。その評価項目を読み解くことで、情報システムの整備・強化ポイントを把握することができます。それではさっそく、シリーズ1回目として「モニタリング」に関する評価項目例を読み解いていきましょう。

「財務報告に係る全社的な内部統制に関する評価項目の例／モニタリング」には、下記の7つの項目があげられています。

• 日常的モニタリングが、企業の業務活動に適切に組み込まれているか。
• 経営者は、独立的評価の範囲と頻度を、リスクの重要性、内部統制の重要性及び日常的モニタリングの有効性に応じて適切に調整しているか。
• モニタリングの実施責任者には、業務遂行を行うに足る十分な知識や能力を有する者が指名されているか。
• 経営者は、モニタリングの結果を適時に受領し、適切な検討を行っているか。
• 企業の内外から伝達された内部統制に関する重要な情報は適切に検討され、必要な是正措置が取られているか。
• モニタリングによって得られた内部統制の不備に関する情報は、当該実施過程に係る上位の管理者並びに当該実施過程及び関連する内部統制を管理し是正措置を実施すべき地位にある者に適切に報告されているか。
• 内部統制に係る重要な欠陥等に関する情報は、経営者、取締役会、監査役又は監査委員会に適切に伝達されているか。

社内における組織面での体制整備も必要ですが、やはり情報システムに要求される機能に注目したいと思います。ここで必要になるのは、社内の不正行為を見逃さないIT監査体制の整備です。もっと具体的に解説すると、下記のようなデータを定期取得できる体制を整備することが重要になると思われます。

• ユーザID・パスワード管理状況解析データ
• 重要アプリケーションへのアクセスログ解析データ
• 機密文書の操作ログ解析データ
• 不正アプリケーション起動記録解析データ
• セキュリティソフトのパッチ適用状況解析データ
• 個人情報ファイルの運用状況解析データ
• セキュリティポリシ違反PCの接続拒否状況解析データ

内部統制では、上記のような解析データによって、有効性の立証が求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制環境」にフォーカスを当てたいと思います。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

　2007年1月の正式公開が予想される、内部統制報告実務基準・実施基準。もは
や、一刻の猶予もありません。しかし、外部の監査法人に対する過度な期待は、
厳禁です。内部統制システム構築をアウトソーシングした結果、「財務報告書
の信頼性向上」という単に一つの目標達成をテーマにした内部統制システムに
なってしまうことが予測されます。

本シリーズで解説してきた通り、内部統制の最大のテーマは、「不正のない健
全な企業風土づくり」です。ITを有効活用し、新しい企業風土を根本からつく
りあげることが、最も大切なのです。そのためにも、いま一度「内部統制とは
何なのか」を正確に理解し、「現行システムの機能と運用方法に何が足りない
のか」をしっかり把握することで、準備期間の作業ボリュームを把握していた
だきたいと思います。そこで5回目の今回は、「不正対策の必要性」というテ
ーマで解説したいと思います。

不正は、企業にとってビジネスリスクです。現在、ご存知の通り社会の注目を
集めるような不祥事も連日報道されています。こうした不正の発生は、企業に
とって直接的な経済的損害を与えることはもちろん、市場での信用やブランド
イメージの低下といった間接的なダメージも与えます。こうした観点からも、
企業には内部統制システム構築を通して、しっかりとした「不正防止プログラ
ム」を構築する必要があるのです。

具体的に、不正防止プログラムは5つの要素によってサイクルを形成させる必
要があります。

1. 不正リスクの評価
2. 不正防止の統制環境の構築
3. 不正防止のための統制活動の整備・運用
4. 不正対応における情報の伝達と共有
5. 不正のモニタリング

では、もっと具体的に、不正防止プログラムにおいて重要になるデータをピッ
クアップしてみましょう。

• 機密文書の操作ログ取得
• 重要アプリケーションへのアクセスログ取得
• 個人情報関連ファイルの運用状況監視情報取得
• 不正アプリケーション起動情報取得
• セキュリティポリシ違反PCの接続情報取得
• セキュリティソフトのパッチ適用情報取得

上記のようなデータ取得が必要になることを考慮すると、現行システムに何が
足りないのか、その差分がクリアになるのではないでしょうか。

さて、クオリティでは、こうしたデータ取得に有効的、つまり内部統制システ
ム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に
フォーカスを当てた特設サイト「内部統制Ｑ救室」もオープンしましたので、
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリア
になったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

さる11月21日、ついに金融庁から「財務報告に係る内部統制の評価および、監査
に関する実施基準（公開草案）」が公表されました。
12月20日までパブリックコメントの受付を行い、2007年1月には正式な実施基準
が公開されると予測されます。（公開草案:PDFをダウンロード）

実務基準・実施基準の正式公開を目前に、「現行システムの機能と運用方法で不
足している点」を確認することで、準備期間の作業ボリューム把握を目的に展開し
ている本シリーズ。4回目の今回は、「健全な企業風土づくりと定期監査」という
テーマで解説したいと思います。

まず、内部統制の本質を正確に把握する上で改めて確認しておきたいのは、「財
務報告書の信頼性向上は、内部統制が目指すひとつの具体的な達成目標に過ぎ
ない」ということです。内部統制の最大のテーマは、「不正のない健全な企業風土
づくり」です。

また、内部統制システムには、その有効性を随時発揮できる持続性も要求されま
す。そこで内部システムを考える上で重視すべき機能が、定期監査です。内部統
制の有効性を立証できる重要データを、定期的に算出できる監査機能が極めて
重要になります。

■内部統制の有効性を立証できるデータの一例

具体的に、内部統制の有効性を立証できるデータの一例としては、下記が必要と
なります。

◎ユーザID・パスワード管理状況解析データ
◎重要アプリケーションへのアクセスログ解析データ
◎機密文書の操作ログ解析データ
◎不正アプリケーション起動記録解析データ
◎セキュリティソフトのパッチ適用状況解析データ
◎個人情報ファイルの運用状況解析データ
◎セキュリティポリシ違反PCの接続拒否状況解析データ
◎セキュリティポリシ違反PCに対する適正化結果解析データ

こうしたデータを定期的に算出できる内部統制システムが、不正な行為を抑止し、
健全な企業風土をつくる重要な基盤となるのです。

さて、クオリティでは、内部統制システム構築に有効的なツールを多数ご用意して
います。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアに
なったでしょうか。一歩一歩着実に対策を講じ、強固な内部統制を確立してくだ
さい。もちろん、Dr.Qもしっかりお手伝いします。次回は、「不正対策の必要性」
に関して解説します。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

内部統制のホント4/5をお送りする予定でしたが、
内容を変更してお届けします。

　さる11月20日、BIGニュースが飛び込んできました。
金融庁で企業会計審議会内部統制部会の第15回部会が開催され、実施基準
の公開草案の正式版を数日中に公表することが明らかになりました!!　
　今後のスケジュールとしては、近日中の正式版公開後、パブリック・コメント
を受け付け、今年末から年明けに正式な実施基準として公開される予定です。

　実施基準は、日本版SOX法が要求する、内部統制の整備、評価、監査に
関する実務上のガイドラインです。これをシッカリと把握できれば、現行システ
ムの強化・整備ポイントがクリアにできます。
　そのためにも、まずは11月8日から金融庁のサイトで公開された、「実施基準」
の草案を把握することが大切でしょう。

公開された草案は、下記の3つから構成されています。

1. 内部統制の基本的枠組み（案）…30ページ
2. 財務報告に係る内部統制の評価及び報告（案）…33ページ
3. 財務報告に係る内部統制の監査（案）…25ページ

※金融庁／企業会計審議会第14回内部統制部会　議事次第へ

　しかし、トータル88ページを熟読する手間が……という方のために、上記1～
3が上手くまとめられた3ページの統括資料が公開されています。それぞれ
の案がフロー型式で各1ページにまとめられています。
※統括資料へ（PDF）

1. 財務報告に係る内部統制構築のプロセス
2. 財務報告に係る内部統制の評価・報告の流れ
3. 業務プロセスに係る内部統制の不備の検討

今回は「財務報告に係る内部統制構築のプロセス」をご紹介しましょう。

◎プロセス１／基本的計画及び方針の決定
経営者は、内部統制の基本方針に係る取締役会の決定を踏まえ、それを組
織内の全社的なレベル及び業務プロセスのレベルにおいて実施するため
の基本的計画及び方針を決定。
※経営者が定めるべき基本的計画及び方針としては、以下が挙げられる。

1. 内部統制の構築に当たる責任者及び全社的な管理体制
2. 構築すべき内部統制の範囲及び水準
3. 内部統制構築の手順及び日程
4. 内部統制構築に係る人員及びその編成、教育・訓練の方法等

◎プロセス2／内部統制の整備状況の把握
内部統制の整備状況を把握し、その結果を記録・保存

1. 全社的な内部統制について、既存の内部統制に関する規程、慣行及びそ
   の遵　守状況等を踏まえ、全社的な内部統制の整備状況を把握し、記録・保存。
   ※暗黙裡に実施されている社内の決まり事等がある場合には、それを明文化。
2. 重要な業務プロセスについて内部統制の整備状況を把握し、記録・保存。
   • 組織の重要な業務プロセスについて、取引の流れ、会計処理の過程を整理し、理解する。
   • 整理、理解した業務プロセスについて、虚偽記載の発生するリスクを識別しそれらリスクの財務報告又は勘定科目等との関連性、業務の中に組み込まれた内部統制によって十分に低減できるものになっているかを検討。

◎プロセス3／把握された不備への対応及び是正
把握された不備は適切に是正

　このフローだけを見ても分かる通り、多くの企業がシステムの強化や整
備を含め、今後の準備期間で想像以上に数多くジョブをクリアしなければ
いません。
一刻の猶予もありません。しかし最も大切なことは、内部統制を「面倒な
新法」として捉えるのではなく、「健全な企業風土づくり」の絶好のチャ
ンスとしてポジティブに捉えることです。そのためにも今回のシリーズ
「内部統制のホント」を通して、システムの今後の強化ポイントなどを把
握していただきたいと思います。

次回は、予定通り「内部統制のホント4/5：健全な企業風土づくりと定期監査」をお届けします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

11月7日、金融庁は同庁のWebサイトに日本版SOX法の実施基準案を
公開しました。基準確定までにはまだ若干の猶予はありますが、
内部統制システム構築の準備期間は確実に短くなっています。

本シリーズを通して、「内部統制とは何なのか」をいま一度正確に理解し、
「現行システムの機能と運用方法に何が足りないのか」をしっかり把握
することが大切です。さて3回目の今回は、「リスクマネジメントとしての
セキュリティ」に関して解説することにしましょう。

内部統制を通して、企業には「不正やごまかしを一切許さない、
社内管理・点検体制の整備」が要求されます。
こうした健全な企業風土を構築するために不可欠な要素が、
「リスクマネジメント」です。内部統制を成功させることは、
企業としてのリスクマネジメントを強化することに直結します。

リスクマネジメントという観点から、「セキュリティ」もまた内部統制に
おいて特に重視すべき点です。今回は、その中でも情報漏洩と
不正行為の原因となる可能性の高い、ユーザIDとパスワード管理に
フォーカスを当ててみましょう。

内部統制システムのユーザIDとパスワード管理で最も重要なのは、
ユーザの正当性確認機能を強化することです。

■ユーザIDとパスワード管理における主な強化機能

機能面では、具体的に下記のポイントを強化することが
内部統制システムに必須と言えます。

• ユーザIDとパスワードの発行・登録手続は、人事部門の情報とリンクさせる。
• 退職者のID・アクセス権の削除を、適切なタイミングで行う。
• 上記退職者のID・アクセス権の削除に関して、明確な社内ルールを作成。
  それに則って運用する。
• 複数の利用者間でユーザIDやパスワードで共有できない機能を整備する。
• パスワードファイルは、必ず暗号化して保存し、たとえシステム管理者で
  あっても、見ることができないようにする。
• 基幹システムへアクセス時、入力パスワードを一定回数間違えた場合は、
  アクセスできないように徹底する。
• 外部・内部から、アタックと思われる事象が発生した場合は状況が
  自動的にレポート化され、管理者に適宜報告される仕組みを整備する。

上記以外にも様々な機能強化が必要視されますが、こうした管理機能を
情報システムに追加採用することで、新法に対応した内部統制システムを
構築できると思われます。

クオリティでは、不要なアカウントや簡易なパスワードなどの脆弱性を
診断するツールをご用意しています。
テクノロジーサイトへぜひ一度アクセスしてみてください。

Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法が要求する「内部統制とは何なのか」を今一度正確に理解する
ことで、「現行システムの機能と運用方法に何が足りないのか」をしっかり
把握して、準備期間の作業内容をクリアしていただくことを目的にスタートした、
今シリーズ。

2回目の今回は「モニタリングの重要性」についてです。

モニタリングは、内部統制システムの目的を達成するために不可欠な要素。
内部統制基準の中で、モニタリングは次のように定義されています。

「内部統制が有効に機能していることを継続的に評価するプロセスをいう。
モニタリングにより、内部統制は常に監視、評価及び是正されることになる。」

つまり、内部統制用のシステムが随時その機能と効果を発揮し続けるように
監視することが重要になる訳です。これを情報システムに当てはめてみると、
「監視機能」と「データ化」の2つの強化が要求されていると考えられます。

1／監視機能

監視機能の具体例として、次のような機能が考えられます。

• セキュリティポリシー違反のPCを基幹システムにアクセスさせない監視
• 個人情報を含む重要ファイルの管理方法に対する定期的な確認
• 機密文書の配信時における、パスワードロック等の漏洩防止策採用状況の定期的な確認
• 機密ファイルに対して不正アクセスをさせない監視
• 従業員のコンプライアンスマニュアルの理解と遵守状況に関する定期的な確認

上記以外にも様々な具体例が予想されますが、こうした監視機能を情報システム
に追加採用することで、新法に対応した内部統制システムを構築できると
思われます。

2／データ化

モニタリングは、その全ての結果がデータ化される必要があります。
例えば機密ファイルに対する操作ログが、不正行為の原因究明に多いに
役立ちます。またWinnyなど、P2Pソフト（ファイル交換ソフト）の起動記録が、
社員のコンプライアンス意識分析に活用できます。
モニタリングデータは、社内の問題を明確にできるのです。
内部統制担当者の間で積極的にデータを共有して、
有効活用していくことが重要でしょう。

さて、クオリティでは、こうしたモニタリングに最適なツールを多数
ご用意しています。テクノロジーサイトへぜひ一度アクセスしてみてください。

いかがでしょうか。現行システムの課題が少しクリアになったでしょうか。
一つ一つ着実に対策を講じ、強固な内部統制システムを確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント3/5：リスクマネジメントとしてのセキュリティ」に関して
解説します。 Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

当初は6月もしくは7月に公表と言われていた「内部統制報告実務基準・実施基準」
ですが、遅れに遅れて12月に一気に公表されるのでは……と予測されています。
しかし、公表のタイミングが遅れても内部統制システムの稼働日は待ってくれま
せん。システム管理者にとって、果たして12月の正式公表までに本当にやらなけ
ればいけないコトとは何なのでしょうか。

それは、日本版SOX法が要求する「内部統制とは何なのか」をいま一度正確に
理解し、「現行システムの機能と運用方法に何が足りないのか」をしっかり把握し、
準備期間の作業内容をクリアにすることです。
そこで、今回から5回にわたって新しいシリーズ
「内部統制のホント」をお届けします。

まず第1回目の今回は、「内部統制の本当の目的」です。

内部統制の目的のうち、最も注目されているのが「財務報告書の信頼性」でしょう。
しかし、ご存知の通り内部統制には4つの目的があります。

• 業務の有効性および効率性
• 財務報告の信頼性
• 事業活動に関わる法令などの遵守
• 資産の保全

そして、これら4つの目的には、共通のゴールがあるのです。
それは「不正やごまかしを一切許さない、社内管理・点検体制の整備」です。
これこそ、内部統制の本当の目的です。

不正を許さない健全な企業風土を持った企業からは、虚偽の財務報告書が
公表される可能性はありません。大切なのは、財務システムの強化だけを
重視するのではなく、内部統制システム構築を通して、健全な企業風土を
作りあげるという視点から社内システム全体を考えることです。

もはや社訓やルールでは、不正を許さない企業風土づくりは不可能です。
IT抜きには考えられません。性善説は過去のものと認識し、
誰もが不正行為を犯す可能性があるという前提のもと、
現在システムを客観的に見てみてください。

さて、現行システムの課題が少しでもクリアになったでしょうか。
ひとつひとつ着実に対策を講じ、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「内部統制のホント2/5：モニタリングの重要性」に関して解説します。
以上、Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介した
ドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れる
ことができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての対策、
第24回目です。

本シリーズは、BtoB取引における統制活動に関して解説しております。
毎回紹介する統制活動から、あなたの会社の各業務プロセスに対するITによる
統制環境を検討していただきたいと考えています。

さて今回は、支払管理に関する統制活動にフォーカスを当てましょう。

支払管理業務とは、仕入先からの請求に基づいて仕入先に代金を支払う業務で
す。実際に現金を扱うため、一般的に不正の問題が発生する可能性が高い業務
と言えます。それでは早速、支払管理に潜むリスクと必要な統制活動を具体的
に解説していきます。

■支払管理における想定リスクは下記の3つが想定できます。

• 請求額以上の支払い（または二重支払い）を行うリスク
• 発注していない（あるいは納品されていない）商品の請求に対して
  支払いを行うリスク
• 仕入先とは異なる企業に支払いを行うリスク

支払管理におけるリスクは、企業のキャッシュフローに直結して甚大な影響を
及ぼす可能性があります。このようなリスクが資金ショートを招き、最悪の場
合、倒産というケースも想定できます。支払管理の不正を防止し、リスク発生
の可能性を低減させる統制活動の実施が必要です。

■支払管理における統制活動

前述のようなリスクを軽減させる統制活動として、
3つの具体例をあげることができます。

1. 関連情報との照合

仕入先からの請求内容を確認するために、担当部署は必ず自社の発
注データと検収データの照合を行うことが必要です。発注データは発注
管理業務の結果であり、検収データは検収管理業務の結果です。
　2つの業務との整合性を確認することで、請求内容を確認できます。
ここで重要なのは、発注管理、検収管理ともに同様の統制活動が実施
されていることです。統制活動は部分的な実施では効果がありません。
関係性の高い業務プロセス全体に実施することが大切です。

2. 職務の分離

請求書を確認して経理処理を行う担当者と、支払いを行う担当者との
分離が必要です。統制活動に積極的な企業が採用している方法として、
支払窓口担当者が請求書を受け取り、出納担当者が振り込みを行う、
というやり方があります。職務を分離させることで、相互抑止が働き不
正防止につながります。

3. 請求書への済印

二重支払い防止を目的に、支払処理された請求書に「済印」を押印し
たり、穴を開けるなどの作業を徹底する必要があります。これにより、
同一請求書での多重請求防止が可能になります。

企業のキャッシュフローに直結する業務だけに、統制活動の実施は必須。
企業活動を安定して継続するためにも、基本基盤として統制活動の実施を
おすすめします。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実にリスクチェック・制度を整備することで、
強固な内部統制を確立してください。もちろん、Dr.Qもしっかりお手伝いします。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

SOX法時代のセキュリティ体制へ…BtoB取引における統制活動(3/9)

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な
対策、連載第23回目。本シリーズのテーマは、BtoB取引における統制活動です。

さて今回は、検収管理に関する統制活動についてです。
検収管理とは、納入品が発注内容に合っているかを検査する業務を意味します。
検収が完了すると、仕入先に費用を支払うことになります。
言い換えれば、検収とは商品に関する責任が仕入先から自社へ移る分岐点です。
それだけに、商品の品質、種類、数量などに関して念入りにチェックすることが、
リスクマネジメントの面からも極めて重要になります。
それでは、検収管理に関するリスクの確認と、必要な統制活動について
解説していきましょう。

■検収管理における想定リスクは下記の3つが想定できます。
◎発注していない商品を受け入れてしまうリスク
◎仕入先の納品ミス(商品の取り違えなど)を発見できないリスク
◎検収の結果、返品が必要であるにも関わらず放置されてしまうリスク

上記のリスクが原因で、得意先に誤った商品を出荷してしまったり、
不要な在庫が増えてしまったり、仕様に合わない材料で製品を製造して
しまうなどのケースが想定できます。

結果、取引先との信頼関係を悪化させるという可能性も否定できません。
また、検収後に瑕疵(かし　※傷や品質上の問題)による問題が発覚した場合、
保証期間内なら返品できるという契約が多く見受けられますが、
期間が過ぎれば追加費用を支払う必要があります。

瑕疵がある商品は即座に返品し、仕入先の瑕疵担保責任を問えるように
検収体制を整備することが重要です。

■検収管理における統制活動
前述のようなリスクを軽減させる統制活動として、
3つの具体例をあげることができます。

1：関連情報との照合
重要なのは、仕入先の納品データと、自社の発注データの2つを照合させながら検
収業務を進めることです。
照合によって発注した通りの数量、種類で納入されているかを確認できます。

2：職務の分離
商品発注部門と、検収業務担当部署を明確に分離させることが重要です。
これにより相互抑制が働き、つねに高い検収精度を維持できます。
また、架空発注や架空検収などの不正行為の抑止にもつながります。

3：方針の明確化
瑕疵がある商品が確実に返品されるように、自社の統一ルールを明確にすることが
重要です。

◎返品商品は専用の保管場所を設ける
◎検収後3営業日以内に返品を行う

検収管理に厳格な統制活動を導入することで、企業のリスクマネジメントは
確実にレベルアップします。不正行為も抑止できます。
企業価値を維持させるためにも、非常に重要な基盤と言えるでしょう。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実にリスクチェック・制度を整備することで、強固な内部統制を確
立してください。
もちろん、Dr.Qもしっかりお手伝いします。
次回は、「支払管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

　2005年4月の個人情報保護法施行により、個人情報漏えい対策への関心が高まっています。セキュリティ対策の完成度を評価する"ISMS"という制度も設置され、各企業に対して情報漏えい対策への取り組みが本格的に求められる状況となってきました。

　企業が保存している情報が漏えいすると、企業イメージの大幅ダウンはもと
より、補償問題で莫大な費用が発生する可能性もあります。義務を怠って個人情報が流出した企業に対しては、行政処分だけでなく罰則も科せられます。この場合、情報流出の責任はネットワーク管理者ではなく企業の代表者に課せられるため、企業が受ける損害は膨大です。

　個人情報漏えいによってダメージを負うのは、大企業ばかりではありません。
中規模企業でも個人情報を大量に保持しているケースは多く、刑事罰は企業規模に関わらず課せられるため、企業規模にかかわらず情報を漏えいしてしまった企業は大打撃を受けることになります。

　こうした情報漏えいを防ぐためには、業務の中のあらゆるシーンにおいて社
内の人間を厳重に管理しなければなりません。
従来、情報セキュリティは、情報システムの施設・設備などの物理的な対策が
重視されてきました。しかし、現在は人的なセキュリティ対策を含む組織全体のマネジメントが重要視されています。

　たとえばコールセンターを持っているメーカーは、個人情報が多く集まる場
所として特に注意し、入退室管理の徹底や情報記録媒体の保管ルールの明確化も必要です。また、各パソコンに情報漏えいを防止するソフトを導入したり、アクセス管理によってシステムの認証を強化するなど、やらなければならないことは数限りなく存在します。

このように、さまざまな対策が必要となる情報漏えい問題を明確化するために、
セキュリティ対策の完成度を第三者が評価する制度として、財団法人日本情報
処理開発協会の推進する「情報セキュリティマネジメントシステム（ISMS）適合性評価制度」が設置されました。

　ISMSでは、効果的な情報セキュリティマネジメントシステムを構築し、
運営・管理していくためのモデルが提供されています。その中でも特に推奨さ
れているのが「PDCAモデル」です。

企業が作成したポリシーを元に

Plan（セキュリティ対策を具体的に計画、方針の策定）
↓
Do（計画に基づいて対策の実施・運用を行う）、
↓
Check（実施した結果の監査を行う）
↓
Act（計画の見直しを行い、改善する）

というサイクルを構築することはもちろん、
無理なく継続させられるかどうかも、情報漏えいを防ぐ重要なポイントです。

　上記のISMSが提唱している「PDCAモデル」を実現し、個人情報の漏えいを防止するためには、各種の情報漏えい防止ソリューションを組み合わせて導入することが効果的です。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての
具体的な対策、第22回目です。

今シリーズでは、BtoB取引における統制活動を解説していますが、さて今回は、
発注管理に対する統制活動に関して解説しましょう。

発注管理は、仕入先に対して商品を注文し、購買プロセスを形成する重要な業務
です。そのため、仕入先名をはじめとして、商品の種類、数量、そして納期など
の情報を適切に管理することが要求されます。それでは、発注管理において、ど
のようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説す
ることにしましょう。

■発注管理における想定リスク

下記の4つのリスクを想定できます。
◎発注のタイミングが遅れて、納期に間に合わないリスク
◎品質の悪い商品や価格の高い商品を購入してしまうリスク
◎必要以上に商品を購入した結果、余剰を廃棄することで発生する損失リスク
◎従業員の個人利用やキックバック等、不適切な購入依頼が行われるリスク

過大な発注による過剰在庫の発生や不当に高額な商品の購入は、企業の損失に
直結します。これまでにも、過剰在庫が要因で倒産した企業も少なくありません。
また発注管理は支払いにつながる業務のため、一般的に不正などの問題が発生
する可能性が高い業務と言われています。

■発注管理における統制活動

前述のようなリスクを軽減させる統制活動として、下記の3つをあげることができます。

1：業務の分離

発注を依頼する部門と実際に発注を行う部門を分離することが重要です。
発注する商品種類や数量を購入依頼部門が決定し、それを受けて、
購買部門（管理部門）が仕入先と価格交渉を行って発注する方法です。
これにより、発注内容の妥当性が客観的に随時確認できます。
また相互牽制の効果が生まれ、不正行為の抑止にもつながります。

2：業務(人材)のローテーション

発注管理業務の担当者を一定期間でローテーションさせる方法も有効です。
仕入先との癒着防止につながります。

3：管理者による承認

発注を依頼する部門、また発注を行う部門の双方の管理者が、発注内容に
関して毎回承認することを、発注業務のプロセスに組み込むことも重要です。
管理者は、以下の2点から承認を行います。

■発注内容は妥当か（仕入先、数量、金額）
■相見積りをとるなど、適正な手続きが行われているか

4：発注情報の管理

発注情報を適切に処理するため、情報システムを有効活用して発注情報を
管理することも重要です。

■新規の発注を随時記録する
■検収時に消し込みを行う　など

つい先日も、某企業の社員によるキックバックを目的とした不正発注が
報道されました。こうした一社員の不正行為が、企業に甚大な損害をもたらすことは
明らかです。統制活動は、企業価値の維持につながる重要な基盤。
仕入先管理において、より厳格な統制活動を行っていくことが、今後
多くの企業に求められることは確実です。

さて、あなたの企業は大丈夫でしょうか。
ひとつひとつ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「発注管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュ
メント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第21回目です。

前回からスタートした、BtoB取引における統制活動。まず今回は、仕入先管理に関する統制活動に関して解説することにしましょう。

　多くの企業にとって、商品の仕入は生命線。通常、BtoBビジネスでは継続的に、また反復的に取引が行われています。そのため、仕入先に関して一定の情報を常時管理していくことが、リスク管理の面から非常に重要になります。それでは、具体的にどのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説することにしましょう。

■仕入先管理における想定リスク

具体的に、下記の2つのリスクを想定できます。
◎仕入先の経営状況や事業内容を把握していないため、不法行為などの不適切な取引に関わってしまうリスク
◎仕入先に適切な商品提供能力が無いため、必要な商品の仕入れができないリスク

例えば有害物質が含まれた海外生産品を仕入れてしまい、企業の信用を損なう恐れがあります。また仕入れの遅れによって自社の業務にも遅れが生じ、結果最終納品が遅れ、重要な顧客を失う可能性も考えられます。

■仕入先管理における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：信用調査の実施

仕入れ先に対して確実な信用調査を行なうことは、統制活動の中でも最重視すべき点です。また取引契約の締結前に行うことが重要です。
◎信用調査会社による、最新経営状況の把握
◎実際に仕入れ先を実際に訪問しての調査活動

リスク管理を徹底している企業では最近、管理部門の担当者が直接出向き、仕入れ先の商品提供能力を把握するケースが目立ってきました。CSR （corporate social responsibility　企業の社会的責任）の面からも、極めて重要な2点と言えるでしょう。

2：信用調査の定期的な実施

仕入先の経営状況なども短期間で急激に変動します。1の信用調査を、2年あるいは3年程度の期間で再度行うことが重要です。

3：取引基本契約書の締結

仕入先との適切な取引を行うために、取引基本契約書を締結する必要があります。

■契約期間
■品質保証
■支払条件
■納期 

などを明確に記載することで、万一の取引上のトラブル回避を図ります。

従来、日本企業の多くが仕入先に関しては「まず信用する」という考えを持って取引を行ってきました。
しかし、現在では国外からの仕入が当たり前になり、企業には一層のリスク管理が要求されているのが事実です。また株式市場や格付機関が、企業評価の尺度としてCSRの視点を取り入れるようになってきました。
こうしたCSRの観点からも、仕入先管理において統制活動をしっかりと行っていくことが重要です。

さて、あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備することで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「発注管理における統制活動」に関して解説します。
Dr.QがITサプリメントをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。
セキュリティ対策に関するツールなど、即役立つ情報を無料で手に入れることができます。
ただいまプレゼントが当たる、キャンペーン実施中です。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

セキュリティ＝生産性の低下は本当？

社内の「セキュリティ」を強化すると、社員は「禁止」されることが増えて、作
業効率や生産性が大幅に低下すると思われがちです。しかし、本当に「セ
キュリティを強化すると生産性が低下」するのでしょうか。

　確かに、セキュリティを向上させるために「USBメモリや外部メディアの利
用禁止」、「ノートパソコンの持ち出し禁止」などの制限を設けて、情報漏え
いリスクを低減させるというソリューションも存在します。こういったソリュー
ションは、情報を「出さない」という面では非常に優れています。しかし、機密
情報の如何に関わらず情報をすべて持ち出せないのでは、生産性が低下
するのは当然です。

　生産性が低下する主な要因は、守るべき情報と守らなくてもいい情報を分
類していないという点に起因します。情報を整理しないまま、それも全社一斉、
一律のセキュリティポリシーによって「禁止」してしまっているため、生産性を
大幅に低下させるという事態が引き起こるのです。

　つまり、「生産性が低下する」のは、社内の状況を把握する前に、全社的
に厳しいセキュリティ対策が施され、大幅な運用制限を実施していることが
原因です。セキュリティソリューションの導入により、生産性・運用性が低下
すれば、企業活動が鈍化し、業務効率は低下します。これによって、たとえ
情報漏えいを防ぐことができたとしても、肝心のビジネスがうまくいかないの
であれば意味がありません。作業者にとっても経営者にとっても、こういった
状況が大きな問題となりつつあります。

　「禁止」に軸足をおいたソリューションを適切に利用すれば、強固なセキュ
リティ環境を構築することができます。しかし利用方法をひとつ間違えると、
持ち出してもいい情報まで持ち出せなくなるという不条理な事態を招くことに
なり、企業内の情報のやり取りまでもが困難となってしまいます。このような
トラブルは、セキュリティのPDCAサイクルに代表されるセキュリティマネジメ
ント、「Plan（計画）-Do（実施）-Check（点検）-Action（処置）」を適切に行なわ
なかったために生じるケースが多いようです。

　また、個人情報などを含む「機密情報」や「重要情報」、漏えいしても問題と
ならない「一般情報」など、その情報の重要度に応じた分類をせずに、すべて
の情報をひとまとめにして処理してしまった結果、業務効率が大幅に低下す
るというトラブルも増えてきているようです。
　また、情報にはライフサイクルが存在するということも忘れてはなりません。
ある一定の時期はトップシークレットとして扱われていても、その期間を過ぎ
れば一般に公開されたり、廃棄可能となる情報は多いです。その際、情報を
適切な方法で処理し、情報の漏えいを防ぐことも必要です。このような情報の
ライフサイクルまで含め、作成から運用、廃棄まで管理するソリューションを
使うことで、初めてうまく運用できるといえるでしょう。

なおクオリティでは、USBメモリなど外部記憶媒体からのデータ利用は許可し
たまま、外部記憶媒体へのデータコピーを禁止、すぐに情報漏えい対策を実
現できる『eX WP』をご用意しております。
『eX WP』は利便性を高めるために、書き出しを一時解除する機能を有してい
ます。この一時解除機能は、クライアントPC利用者自身で実行できず、システ
ム管理者管理の許可の下でのみ実行されます。また、『eX CLT』と連携させる
ことで、書き出しを一時解除した際の操作ログを記録することも可能です。

>>『eX WP』、『eX CLT』に関する詳細はクオリティ Webサイトをご覧ください。
   >>コンピュータセキュリティ 対策 - クオリティ株式会社

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第20回目です。

さて、今回から新たな連載です。今後の企業情報システムは、リスクマネジメントを基点にした構築が極めて重要になります。そこで、BtoB取引の各プロセスにおいて必要とされる、具体的なリスクと統制活動に関して解説していきたいと思います。対企業で商品の仕入販売を行う企業の場合、すでに各プロセスで管理業務が行われていると思われます。しかし、それらの管理業務にも実に様々なリスクが存在しています。

例えば、得意先管理において、最新の財務情報に基づいた調査を行わなかったために、実質倒産寸前の企業と取引をしてしまうケースがあります。結果、自社の収益だけでなく、マーケットでの企業イメージまで悪化させることも予想されます。これが、得意先管理におけるリスクです。こうしたリスクを低減させるために、有効的な統制活動を講じていく必要があります。

一般的に、BtoB取引における企業内の業務は、仕入関連の管理業務、在庫管理業務、販売関連の管理業務に3つに大きく分けることができます。中でも仕入管理業務と販売管理業務には、さらに細かい管理業務が存在します。

1)仕入関連の管理業務（仕入先管理→発注管理→検収管理→支払管理）
2)在庫管理業務
3)販売関連の管理業務（得意先管理→受注管理→出荷管理→入金管理）

それぞれのプロセスで様々なリスクが発生する可能性があります。では、それらのリスクを低減させるには、どのような統制活動が必要になるのでしょうか。

次回から、各プロセスの統制活動を分かりやすく解説していきます。ぜひ定期アクセスをよろしくお願いします。 想定リスクを一つ一つ正確に判断しながら、新法対応型の強固な内部統制を確立してください。もちろん、Dr.Qもしっかりお手伝いします。Dr.QがITサプリメントをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。今回は個人情報保護法が定める"個人情報"に関するおさらいです。

　各企業がセキュリティ対策を行なう理由のひとつは「個人情報保護法」の完全施行です。

「個人情報保護法」が作られた背景には、国際機関において個人情報保護に関する勧告や指令が採択され、日本も「十分なレベルの保護措置」が必要になったことや、国内的な背景として、IT社会の発展による個人情報の利用拡大、それに伴う情報漏えい事件の多発、さらに「住民基本台帳ネットワークシステム」の実現による個人情報についての法整備の必要性が生じたことなどがあげられます。

「個人情報保護法」においては、個人情報を次のように定義しています。

「第二条　この法律において"個人情報"とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む）」

　つまり"生存する個人に関する情報"全体が"個人情報"として扱われることになります。これには、顧客情報のみならず、企業の従業員情報なども含まれます。また、死者に関する情報が遺族の生存する個人に関する情報でもある場合、生存する個人に関する"個人情報"となります。

　"特定の個人を識別できるもの"とも定義されているため、氏名・住所はもとより、個人の身体、財産、職種、肩書きなどの属性や、免許証番号やクレジットカード番号も含まれます。さらに「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、「評価情報、公刊物等によって公にされている情報や、映像、音声による情報も含まれ」とあります。つまり、防犯カメラなどの映像情報や筆跡、音声なども"個人情報"となります。

「他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む」

という補足により、データそのものは個人情報ではなくても、照合することで個人が特定できるデータに関しては、個人情報と考える必要があります。つまり、かなり幅広い情報が"個人情報"として定義されているのです。

　なお「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」によると、電話会社から提供された電話帳や、市販の電話帳CD-ROMなどに掲載されている氏名及び電話番号、カーナビゲーションシステムなどのナビゲーションシステムに格納されている氏名、住所などのデータなどは"特定の個人の数に参入しない事例として挙げられています。

いかがでしょう。日々、統制活動を行なっている方はご存知だとは思いますが、"個人情報の範囲"があいまいだった方もいらっしゃるのではないでしょうか？　個人情報の定義を再確認し、御社の個人情報管理における統制活動にお役立てください。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか・後編～
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_0340.html

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

"セキュリティマネジメント"を新テーマに据えて、情報セキュリティの現状をお伝えしている当ブログ。連載2回目は前回の「～会社の情報資産は本当に守られているか～」の後編です。

　セキュリティ対策を行なっている企業から、なぜ情報漏えい事件が発生するのでしょうか。その原因のひとつは、急場しのぎで作成した社内規則や個人情報の取り扱いルールが、会社全体に浸透していないことが挙げられます。また、情報漏えい対策を目的としたツールに過度な期待を抱き、そのツールを使う人間そのものに注意を払わなかったという点もあるでしょう。当然のことながら、セキュリティツールを導入しただけでは、情報漏えい事件・事故はなくならないのです。

　実際、各企業におけるセキュリティ対策の内容は、状況にあわせて変化しています。昨年まで、セキュリティ関連への投資は、不正な攻撃やウイルス対策といった「外部からの脅威」に対して行なわれてきました。それが今年になって、「社員からの情報漏えい対策」、「個人情報保護法への対策」、「セキュリティ教育やセキュリティポリシーの策定」といった、「内部」のセキュリティを高める方向へと投資ニーズが変化しています。
　つまり、「どの部分を防げばいよいか」という点は各企業とも理解できているのです。しかし「どう防げばよいか」という具体策に関しては、まだ五里霧中のようです。

　多くのセキュリティソリューションが存在するなか、それぞれのソリューションの概略や特長、自社の実態に適合するのか否かなどをひとつひとつ選定していくことは、もはや不可能な状態になりつつあります。実際、セキュリティソリューションの導入を検討している企業のなかには、「なにを選択し、どのように対応すればよいかわからない」という状況に陥っているところもあるでしょう。

　「自社に必要な対策は何か」、「セキュリティリスクはどこにあるのか」といった現状認識の前に、「とりあえず」情報漏えい対策を導入した企業も多く存在しますが、これらの企業は「情報漏えい」という課題に対して、いまだ適切な答えを見つけていません。そういった企業にとって重要なのは、まずセキュリティ対策を全社的に行ない、セキュリティマネジメントとして、取り組むことではないでしょうか。

■バックナンバー
情報セキュリティの現状～会社の情報資産は本当に守られているか～・前編
http://quality-blog.cocolog-nifty.com/blog/2006/08/post_2804.html

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第19回目です。

さて、今回は個人情報の廃棄における統制活動に関して解説しましょう。

多くの企業のWebサイトで公開されている、個人情報保護方針。個人情報の安全保護についての部分には、「個人情報の保存・管理および廃棄ルールを徹底することで、個人情報の盗難、紛失、破壊、改ざん、漏洩についての予防措置を講じます。」という画一的な表記が目立ちます。しかし、本当に廃棄ルールが徹底されているでしょうか。
実際に、個人情報の廃棄の段階にも、様々なリスクが存在しています。それでは、どのようなリスクが存在して、どのような統制活動が必要なのか、具体的に解説しましょう。

■個人情報の廃棄におけるリスク

具体的に、2つのリスクが想定できます。
●不適切な廃棄方法によって個人情報が漏洩するリスク
●定期的な廃棄をしなかったため大量の情報が保有され、結果的に大量の個人情報が漏洩するリスク

いずれも個人情報保護法違反となる可能性があります。最近では個人情報漏洩をきっかけに、株価を大きく下げてしまう上場企業も少なくありません。企業のブランドイメージ保護の観点からも、しっかりとした統制活動が不可欠でしょう。

■個人情報の廃棄における統制活動

前述のようなリスクを軽減させる統制活動として、具体的に下記の3つをあげることができます。

1：廃棄に関するルールの明確化

下記のような社内ルールを明文化し、全社員への通達と教育を徹底することが重要です。
●個人情報の廃棄タイミングを設定する
　※取得後、一律3年で廃棄する
　※1年以上利用されていない個人情報は廃棄する
●記録媒体別に廃棄方法を設定する
　（特にデータに対しては、物理的な破壊を行うことが必須）
　※紙の資料（シュレッダー処理を行う）
　※CD・フロッピーディスク・ハードディスク（データ消去プログラムで固定データによる塗潰し消去を2回行う、など）

2：廃棄記録の作成・保管

取得から一定期間が経過した個人情報が廃棄されたのか、あるいはまだ社内に保管されているのか、状況を常時正確に把握できるように、廃棄記録を作成することが重要です。廃棄記録には、項目として最低でも下記の5つの情報を記録することが要求されます。

◎廃棄者名
◎廃棄期日
◎廃棄情報名(ファイル名)
◎廃棄方法
◎責任者認証

3：管理者による定期的な確認作業

実際に個人情報を保有している各部署の責任者が、個人情報の廃棄における社内ルール遵守状況を定期的に確認することも非常に重要です。

◎設定された時期に廃棄が行われているか
◎書類、メディアなどが社内ルールに則った方法で廃棄されているか
◎廃棄記録は適切に作成されているか　など

いかがでしょう。
4回にわたって、個人情報管理における統制活動に関して具体的に解説してきました。
このような統制活動を実施することで、リスクを確実に軽減できます。
あなたの企業は大丈夫でしょうか。
一つ一つ確実に整備しながら、ぜひ強固な内部統制を確立してください。
Dr.QがITサプリをお届けしました。

クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。

日本版SOX法に適用する、より安全性の高いシステム構築に向けての具体的な対策、第18回目です。

今回は個人情報の保管に関する統制活動について解説しましょう。

個人情報の取得から利用・加工までのプロセスに関しては明確な社内規定が存在するものの、保管に関しては社内規定上も「適切な方法」といった曖昧な表現になる企業が目立つようです。

しかし、今後は個人情報が漏洩したり、滅失したりすることがないようにルールに則って厳密に保管することが求められます。また実際に、個人情報の保管段階にも、様々なリスクが存在しています。
それでは、個人情報の保管には具体的にどのようなリスクが存在して、どのような統制活動が必要なのか解説しましょう。

■個人情報の保管におけるリスク
具体的に、2つのリスクが想定できます。
●社員が不正に個人情報を持ち出すリスク
●外部からの不正アクセスによって個人情報が持ち出されるリスク

これら2つのリスク対策が不十分な企業で、個人情報漏洩が多発しています。個人情報漏洩は企業イメージを確実に悪化させます。いずれも重視すべきリスクです。

■個人情報の保管における統制活動

リスクを低減できる具体的な統制活動として、下記の3つが考えられます。

1：保管に関するルールの明確化

下記のような保管ルールを明文化し、全社員への通達と教育を徹底することが重要です。
◎個人情報ファイルは必ずパスワードを設定して保管する
◎個人情報ファイルを扱える担当者を限定する
◎個人のPCやデスクには個人情報を保管しない
◎バックアップCDなど、個人情報の入った外部記憶メディアは特定の担当者しか入室できない資料庫に保管する

2：IT統制

ルールに頼るだけでなく、次のようなIT統制もリスク軽減に有効です。また不正行為の抑止効果も期待できます。

◎ファイルアクセス制御(ファイル自体に有効期限を持たせる、メールに添付できない機能を持たせる)
◎ファイル暗号化(ファイル自体を暗号化し、第三者に渡った場合も閲覧できないようにする)
◎アクセスログ取得(個人情報のファイルに対して、いつ、誰がアクセスしたのかを自動的に記録する)
◎個人情報ファイル探査(社員のPC内に、個人情報のファイルが不適切に存在していないかチェックする)

3：職務の分離化

担当者(管理者)を2人置き、職務を分離させることで、お互いの業務への客観的なチェックが可能になり、個人情報が不正に持ち出されるリスクを軽減できます。

◎個人情報利用部門担当者(例：営業部)
◎個人情報保管部門担当者(例：情報システム部)

4：管理者による定期的な確認作業

上記2人の担当者が、個人情報の保管に関する社内ルール遵守状況を定期的に確認することが重要です。

◎認定者以外が個人情報に不正アクセスしていないか
◎社員のPCなどに個人情報が不適切に保管されていないか

いかがでしょう
このような統制活動を実施することで、個人情報の保管に関わるリスクを確実に軽減できます。
御社は大丈夫でしょうか。
ひとつひとつ確実に整備しながら、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

次回は、「個人情報の廃棄における統制活動」に関して解説します。
Dr.QがITサプリをお届けしました。

なお、クオリティではメールマガジン「Q-NEWS」を毎週配信中。今回ご紹介したドキュメント管理に関するツールなど、即役立つ情報を無料で手に入れることができます。ただいまプレゼントが当たる、キャンペーン実施中です。