■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス その5

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

Chart_070307

貴社のIT統制の導入準備は万全でしょうか?
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

3月 7, 2007 クオリティ, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス その2

先週よりスタートした新連載「徹底解説!! 財務報告に係わるIT統制ガイダンス」では、経済産業省が公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)※以下、追補版」の解説をしています。それでは早速、解説に取り掛かりましょう。

追補版で着目すべきポイントは「IT統制の導入ガイダンス」です(PDF版のP38参照)。このページには、システム管理者にも非常に分かりやすくIT統制の解説が記されています。

今週は「IT統制の導入ガイダンス」の中でも、「3.IT全般統制/(2)システムの運用・管理/・運用管理」部分のポイントを解説します。

追補版では、システムの運用管理において想定されるリスクと、それに対するIT統制(対応策)が具体的に例示されています。数多くある具体例の中でも、ITサプリでは、対応策の実行が即可能な下記の2つに注目しました。

■リスクの例~その1~■
運用時の不正な操作等を発見できない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理について、企業にログ採取・分析についての方針があり、
それに基づいてログが採取されて、必要な項目がモニタリングされている。

■リスクの例~その2~■
情報システムが処理するデータの信頼性が保証されない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理のログが取得されて、ログファイルの完全性、正確性、
正当性を保証される(ログが改ざんされずに記録され、保管されている)。

これら2つの例示から、管理職や取締役まで網羅した、例外のない全社的なクライアントPCに対する操作ログの取得が、極めて重要であることが分かります。

誰が、いつ、何を、どうしたのか、それを全てログデータとして採取し、定期的にレポート化を行い、分析できる体制を整備することが要求されています。こうしたログ取得が、企業内の不正行為の抑止につながると考えられます。

Chart_070213_1

さて、貴社では操作ログの取得は万全でしょうか?
操作ログ取得に最適なツールと、ベストなアドバイスをお探しなら、ぜひクオリティ テクノロジーサイトにアクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

2月 14, 2007 クオリティ, 内部統制, 日本版SOX法 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
徹底解説!! 財務報告に係わるIT統制ガイダンス

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応 (社内外のITの活用状況)
2)ITの利用 (財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制 (ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

2月 7, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度, 経済・政治・国際 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 6/6

金融庁のWebサイトで現在公表中の「財務報告に係る内部統制の評価及び
監査に関する実施基準(公開草案)」。実施基準案に登場する「財務報告
に係る全社的な内部統制に関する評価項目の例」に着目し、そこでの評価
項目を通して、情報システムの整備・強化ポイントを把握することを目的に、
本シリーズを進めてきました。

シリーズラストとなる今回は、「ITへの対応」に関する評価項目をチェックした
いと思います。財務報告に係る全社的な内部統制に関する評価項目の例/
ITへの対応には、5項目があげられていますが、5項目の内、情報システムに
対して全社的統制に関するニーズが明確なのは、2)と4)です。

2)経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏ま
 えた方針を明確に示しているか。

↓↓↓↓↓↓↓

この項目では情報システムに対して、IT資産管理機能を要求していると考え
られます。具体例としては、下記のような情報を正確に把握した上で、内部
統制に関する方針を打ち出すことが要求されます。

◎ハードウエア情報収集
◎ソフトウエアのライセンス情報収集
◎使用者情報
◎購入(資産区分)情報

これらの情報が正確に把握できる、PC資産管理台帳をベースに方針作成を
スタートすることが重要です。やはり内部統制成功の第一歩はIT資産の棚卸
しである、ということがこの項目から把握できます。

4)ITを用いて統制活動を整備する際には、ITを利用することにより生じる新
  たなリスクが考慮されているか。

↓↓↓↓↓↓↓

この項目では、情報システムに対して、社内に存在するITリスクを予測できる
監査レポートの作成機能が要求されていると考えられます。監査レポートに
は、具体的に下記のような内容が記述されることが必要となるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

これらの情報を把握することで、今後のITリスクの予測が容易になります。

Chart_070130

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 31, 2007 クオリティ, ビジネス, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 5/6

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例/“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1)、それから3)、4)の3項目です。

1)信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3)内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4)経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

Chart_070117

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 24, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準(公開草案)を通して理解すべき、内部統制のポイント 4/6

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5)、6)、7)の3項目について解説します。

5)統制活動は業務全体にわたって誠実に実施されているか。
6)統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7)統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した6つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6)には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

Chart_070109

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 17, 2007 クオリティ, パソコン・インターネット, ビジネス, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)

「日本製エンタープライズソフトの連携で価値提案する「MIJSカンファレンス」に出展!」

Mijs_1

クオリティが参加している「MIJSコンソーシアム」が主催するイベント“MIJSカンファレンス「Japan」2007”が、「MIJSが日本のソフトウェアビジネスを変える」をテーマに、東京コンファレンスセンター品川にて2007年2月1日(木)に開催されます。

基調講演には、ソフトブレーン株式会社 マネージメントアドバイザー 宋 文洲 氏や、「プロジェクトX」の生みの親、日本放送協会 エグゼクティブ・プロデューサ 今井 彰 氏の講演が予定されています。クオリティからは、インテル社「vPro」に対応したQND Plusを参考出展します。

【詳細・申込はこちら】
 http://www.mijs.jp/conference/070201.html

~『MIJSカンファレンス「JAPAN」2007』概要~

■日時:2007年2月1日(木) 10:30~18:00(受付開始 10:00)

■会場:東京コンファレンスセンター品川 5F

■入場料:無料(事前登録制)

■協賛企業:日本アイ・ビー・エム株式会社
         :日本オラクル株式会社
        :日本BEAシステムズ株式会社
         :マイクロソフト株式会社
         :インテル株式会社
         :デル株式会社
■協力:アイティメディア株式会社
■主催:MIJSコンソーシアム

1月 15, 2007 クオリティ, ビジネス | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準:公開草案を通して理解すべき、内部統制のポイント 3/6 その2

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例(28ページ目)は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4)経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

  • 機密ファイル操作ログ
  • 個人情報関連ファイルアクセスログ
  • 重要DBへのアクセスログ
  • メール操作ログ
  • アプリケーション起動ログ

Chart_061227

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Q救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

1月 10, 2007 クオリティ, ビジネス, 内部統制, 情報漏洩対策, 日本版SOX法, 法制度 | | トラックバック (0)

■SOX法時代のセキュリティ体制へ■
実施基準:公開草案を通して理解すべき、内部統制のポイント 3/6

先週、取材で某上場アミューズメント関連企業へお伺いしました。以前お伺いした時と明らかに違ったのは、営業セクションへのエントランス。1年前はITセクションだけだったのですが、営業セクションへのエントランスもICカード化され、入退室が管理されていました。お聞きしたところ、やはり内部統制の一環とのことでした。各社で内部統制の準備が着々と進められていますね。

さて、本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

個々の評価項目例は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な3項目目の例をご紹介します。

3)経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。

↓↓↓↓↓↓↓

ここで重要になってくるのは、社内に点在するクライアントPCに対する徹底的な管理と機密ファイルや重要アプリケーションに対する統制だと思われます。具体的には、次のような機能整備が不可欠になると考えられます。

  • 重要アプリケーションへの不正アクセス防止の徹底
  • 機密文書の不正活用防止の徹底
  • 不正アプリケーション起動制御の徹底
  • 個人情報ファイルの適正な管理状況の徹底
  • クライアントPCのセキュリティポリシ遵守の徹底

Chart_061227a_1

内部統制では、このようなデータによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Q救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Q救室」はこちら>> 内部統制Q救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例/統制活動」にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

情報システムQ救隊

12月 27, 2006 クオリティ, 内部統制, 日本版SOX法, 法制度 | | トラックバック (0)