ドクターQがお届けするIT統制ブログ　ITサプリ

日々多忙を極めるシステム管理者のみなさんのために、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)のポイントを分かりやすく解説している本シリーズ。追補版の各章で登場するリスクと、具体的な対応策に着目しながら進めています。

さてシリーズ5回目の今回から、「5.モニタリング」に入ります。モニタリングの目的は、問題点の把握と是正を行い、継続的な改善を実施することで内部統制の有効性を確保することです。ITに関するモニタリングは、IT全社的統制、IT全般統制、IT業務処理統制のそれぞれにおいて実施することが要求されます。モニタリングは必然的に企業の各階層に関係することになります。今回は、想定リスクと対応策が具体的で分かりやすい、「IT全般統制のモニタリング」に着目しましょう。IT全般統制のモニタリングは、IT基盤ヘの統制が有効に機能しているかを監視し、問題点を是正するために行われます。

■リスクの例(1)■
IT全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
ITの日常的なモニタリングに関するポリシや手続き、ルールが定められ、これに基づいてモニタリング活動が実施され、記録(ログなど)が保存されている。


■リスクの例(2)■
連続したモニタリングでないと、不正等を検出できない。

↓↓↓↓↓↓↓

○統制の例○
モニタリングのログ等の情報収集は24時間365日連続して収集されている。

■リスクの例(3)■
モニタリングの証拠が正しく保全され、保管されていない。

↓↓↓↓↓↓↓

○統制の例○
ログ等の情報は正しく保全され、保管されている。

■リスクの例(4)■
モニタリング情報が適切な管理者に適時に報告されない。

↓↓↓↓↓↓↓

○統制の例○
モニタリング情報が、適切な管理者に適時に報告される仕組みとなっている。

以上、4つの例示から、IT全般統制に関するモニタリングの中核が「クライアントの操作ログ取得」であることが分かります。
具体的な操作ログとして、下記が必要になることが予測できます。

◎起動アプリケーションログ
◎ドキュメント操作ログ
◎WEB操作ログ
◎ファイルログ
◎Mail送受信ログ
◎プリンタ印刷ログ
◎ウインドウタイトルログ
◎クリップボードコピーログ
◎画面キャプチャ
◎FTPログ

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

リリースからわずか1ヶ月で、早くも内部統制に向けた情報システム強化のスタンダードになりつつある、「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)。

追補版は金融庁からリリースされている「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」と比較して、統制活動に関する具体例が多数掲載されており、システム強化のポイントを明確に理解できます。そこでITサプリでは、追補版の各項目をさらに分かりやすく解説していきます。

シリーズ4回目の今回は、「③.IT全般統制／(3) 内外からのアクセス管理等のシステムの安全性の確保：②.アクセス管理等のセキュリティ対策」のポイントを解説しましょう。アクセス管理等のセキュリティ対策では、アクセス制御、パスワードの管理、ネットワークアクセスの制御、オペレーティングシステムのアクセス制御という、4つの対策が重視されています。追補版ではアクセス管理において想定されるリスクと、その対策としてIT統制(対応策)が豊富に例示されています(Ⅳ章33ページ(PDFの70ページ目)：【統制の例と統制評価手続の例】)。今回はその中でも、情報システムに対するニーズが明確な4つの例示に注目したいと思います。

■リスクの例(1)■
適切な認証がないと、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
すべての担当者の認証及びアクセス制御機能が存在し、アクセスが記録されている。

■リスクの例(2)■
担当者のアカウントの発行、停止等の管理がなされていないと不正使用されて、データヘの改ざんや漏えいが起きる。

↓↓↓↓↓↓↓

○統制の例○
担当者のアカウントの申請、設定、発行、一時停止、廃止に関する手続が存在しており、手順に従って適時に処理されている。

■リスクの例(3)■
適切なアクセス制御機能がなく、データヘの改ざんや不正な参照が起きる。

↓↓↓↓↓↓↓

○統制の例○
アクセス権に関して適宜見直して、確かめるための統制プロセスが存在し、これに従っている。

■リスクの例(4)■
インターネットを利用する場合は不正侵入対策が実施されている。

↓↓↓↓↓↓↓

○統制の例○
電子商取引等にインターネット等外部のネットワークを利用する場合には、ファイアウォール、侵入検知システム等が用いられている。さらに、脆弱性評価の結果によるパッチ等の適切な統制が存在して、不正アクセスを防いでいる。

以上、4つの例示から、全社的なアクセスログの取得と、ID・パスワード管理、またクライアントPCに対する脆弱性監査というシステム強化のポイントが明確になったと思います。

そして、それら3つの統制活動の実行状況を定期レポート化できる体制の整備が不可欠であることが分かります。さらにに解説すると、下記の機能強化が要求されることが推測できます。

◎ファイル、アプリケーション、サーバに対するアクセスログ取得と、全クライアントPCの操作ログ取得
◎セキュリティポリシ違反のPC(未登録PC、私物PC含む)による基幹システムへのアクセス拒否
◎セキュリティポリシ違反PCを隔離して検査を行い、問題があれば治療できる、検疫ネットワーク機能
◎ID・パスワードの運用管理機能
◎OSのセキュリティパッチの漏れのないインストール
◎ウイルス対策ソフトの定義ファイルの漏れのないインストール

貴社のIT統制の導入準備は万全でしょうか？
上記に掲載した統制活動を実施することで、リスクを確実に軽減できます。
ひとつひとつ確実にITセキュリティ整備を行うことで、強固な内部統制を確立してください。
もちろん、Dr.Qもしっかりお手伝いします。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、
情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を配信中。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

経済産業省から公表された「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)の各ポイント解説を目的とした本シリーズ。先週に引き続き、今回も第Ⅳ章、「IT統制の導入ガイダンス」にフォーカスを当てたいと思います。

今回はⅣ章P27(PDFの64ページ目)に掲載されている、「3.IT全般統制／(2)システムの運用・管理／2構成管理」の解説です。
ここでの構成管理とは、情報資産の購買、設置、固定資産管理、廃棄等の統制結果を資産情報として管理することを意味します。情報システムの統制を間接支援する重要な要素として位置づけられています。追補版には構成管理に関する想定リスクとIT統制(対応策)が4つ例示されています。

■リスクの例(1)■
ソフトウェア、ハードウェア、アプリケーション・システム等が無断で設置・廃棄されることにより、誤処理やシステム停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
購買、設置、固定資産、廃棄等が適切に管理されている。

■リスクの例(2)■
変更が正しくシステム管理情報に反映されないために、システムの不整合が起きるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
変更管理の結果が、適時、構成管理に反映されている。

■リスクの例(3)■
管理期限の経過したハードウェア等の継続使用により、処理に誤りが起こるリスクがある。

↓↓↓↓↓↓↓

○統制の例○
情報資産の有効期限が適切に管理され、更新される。

■リスクの例(4)■
許可されないソフトウェアの使用によってデータの改変やシステムの停止が起こる。

↓↓↓↓↓↓↓

○統制の例○
IT資産を使用する従業員には、許可されたソフトウェア以外の使用を禁止する
(従業員のPCの特権IDやアドミニストレータ権限が禁止されている)。

4つの例示から、全社的なIT資産管理体制の導入が不可欠であることが分かります。同様に、全社のクライアントPCを随時モニタリングできるIT監査体制の確立も極めて重要になります。その他、リース切れなどの要因によって廃棄されるPCに対してハードディスクを暗号化するなどの対策も必要になります。具体的には、下記のような管理機能が必須になると考えられます。

◎管理外のPCがネットワークに接続した際のアラート
◎ソフトウェア利用状況の把握
◎禁止ソフトウェアの起動制御
◎業務用アプリケーションのバージョンの把握と、その統一
◎ハードディスクのメンテナンス時期のアラート
◎リース切れ目前のクライアントPCのアラート

さて、貴社のIT統制の導入準備は万全でしょうか？
クオリティでは、未登録PCの不正接続を検知する「eX IPD」や、禁止ソフトウェアの調査・起動制御を行う「QAW」など、IT全般統制に適したツールとベストなアドバイスをご用意しております。ぜひクオリティのテクノロジーサイトへ一度アクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

先週よりスタートした新連載「徹底解説!! 財務報告に係わるIT統制ガイダンス」では、経済産業省が公表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)※以下、追補版」の解説をしています。それでは早速、解説に取り掛かりましょう。

追補版で着目すべきポイントは「IT統制の導入ガイダンス」です(PDF版のP38参照)。このページには、システム管理者にも非常に分かりやすくIT統制の解説が記されています。

今週は「IT統制の導入ガイダンス」の中でも、「3.IT全般統制／(2)システムの運用・管理／・運用管理」部分のポイントを解説します。

追補版では、システムの運用管理において想定されるリスクと、それに対するIT統制(対応策)が具体的に例示されています。数多くある具体例の中でも、ITサプリでは、対応策の実行が即可能な下記の2つに注目しました。

■リスクの例～その１～■
運用時の不正な操作等を発見できない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理について、企業にログ採取・分析についての方針があり、
それに基づいてログが採取されて、必要な項目がモニタリングされている。

■リスクの例～その２～■
情報システムが処理するデータの信頼性が保証されない。

↓↓↓↓↓↓↓

■統制の例■
情報システムとデータ処理のログが取得されて、ログファイルの完全性、正確性、
正当性を保証される(ログが改ざんされずに記録され、保管されている)。

これら2つの例示から、管理職や取締役まで網羅した、例外のない全社的なクライアントPCに対する操作ログの取得が、極めて重要であることが分かります。

誰が、いつ、何を、どうしたのか、それを全てログデータとして採取し、定期的にレポート化を行い、分析できる体制を整備することが要求されています。こうしたログ取得が、企業内の不正行為の抑止につながると考えられます。

さて、貴社では操作ログの取得は万全でしょうか？
操作ログ取得に最適なツールと、ベストなアドバイスをお探しなら、ぜひクオリティ テクノロジーサイトにアクセスしてみてください。きっとIT統制成功のロードマップが見えてきます。
Dr.QがITサプリをお届けしました。 次回も引き続き追補版を解説します。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

1月19日、経済産業省から「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(以下、追補版)が公開されました。

その内容は、金融庁の「財務報告に係わる内部統制の評価および監査に関する実施基準 草案」(以下、実施基準案)を補完し、システム部門が実施すべき項目が、分かりやすく解説されています。とはいえ、追補版は約150ページのボリューム。そこで、今回から新たなシリーズ「徹底解説!! 財務報告に係わるIT統制ガイダンス」をスタートさせます。

まず、第1回目の今回は、追補版を読み解く上で必要になる、用語を解説したいと思います。追補版で新たに追加された用語もあります。実際に追補版では、第一章で各用語の概念が解説されています。その概念をベースに進めたいと思います。

■IT統制
今回の追補版では、「IT統制」の概念が明確化されました。IT統制に含まれるのは、ふたつです。金融庁の実施基準案では、「ITへの対応」が、1)IT環境への対応、2)ITの利用、3)ITの統制と、3つのカテゴリーで解説されましたが、IT統制の概念には、2)と3)の双方が含まれます。

※補足解説
1)IT環境への対応　(社内外のITの活用状況)
2)ITの利用　(財務情報の信頼性に係る内部統制の実現におけるITの利用)
3)ITの統制　(ITを利用した情報システムに対する内部統制)

また追補版では、IT統制が、次の3つに分類され、それぞれの概念が明確化されています。

■IT全社的統制
企業の統制が全体として有効に機能する環境を保証するためのITに関連する方針と手続等、情報システムを含む内部統制。

■IT全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理に関係する方針と手続のうち、IT基盤を単位として構築する内部統制。

■IT業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを担保するために業務プロセスに組み込まれたITに係わる内部統制。

さらに、金融庁の実施基準案で解説がなかったIT基盤に関しても、今回の追補版で概念が明確化されています。

■IT基盤
ITに関与する組織の構成、ITに関する規程及び手順書等、ハードウェアの構成、ソフトウェアの構成、ネットワークの構成、外部委託の状況。

追補版を理解する上でポイントになるのは、上記の5つです。それでは次回から、追補版の中身を解説していきますのでお楽しみに。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで現在公表中の「財務報告に係る内部統制の評価及び
監査に関する実施基準(公開草案)」。実施基準案に登場する「財務報告
に係る全社的な内部統制に関する評価項目の例」に着目し、そこでの評価
項目を通して、情報システムの整備・強化ポイントを把握することを目的に、
本シリーズを進めてきました。

シリーズラストとなる今回は、「ITへの対応」に関する評価項目をチェックした
いと思います。財務報告に係る全社的な内部統制に関する評価項目の例／
ITへの対応には、5項目があげられていますが、5項目の内、情報システムに
対して全社的統制に関するニーズが明確なのは、2）と4)です。

2）経営者は、内部統制を整備する際に、IT環境を適切に理解し、これを踏ま
　えた方針を明確に示しているか。

↓↓↓↓↓↓↓

この項目では情報システムに対して、IT資産管理機能を要求していると考え
られます。具体例としては、下記のような情報を正確に把握した上で、内部
統制に関する方針を打ち出すことが要求されます。

◎ハードウエア情報収集
◎ソフトウエアのライセンス情報収集
◎使用者情報
◎購入（資産区分）情報

これらの情報が正確に把握できる、PC資産管理台帳をベースに方針作成を
スタートすることが重要です。やはり内部統制成功の第一歩はIT資産の棚卸
しである、ということがこの項目から把握できます。

4）ITを用いて統制活動を整備する際には、ITを利用することにより生じる新
　 たなリスクが考慮されているか。

↓↓↓↓↓↓↓

この項目では、情報システムに対して、社内に存在するITリスクを予測できる
監査レポートの作成機能が要求されていると考えられます。監査レポートに
は、具体的に下記のような内容が記述されることが必要となるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

これらの情報を把握することで、今後のITリスクの予測が容易になります。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

いよいよ公開間近となった「財務報告に係る内部統制の評価及び監査に関する実施基準」。しかし、公開を待ってからの準備開始では遅すぎます。この期間でまずすべきことは、内部統制が情報システムに要求する機能を正確に把握し、現状のシステムとの差分をクリアにすることです。

そこで本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準(公開草案)」に記載されている、「財務報告に係る全社的な内部統制に関する評価項目の例」に注目。それらの評価項目を通して、情報システムの整備・強化ポイントを把握することを目的に進めています。

さてシリーズ5回目の今回は、「情報と伝達」に関する評価項目をチェックしたいと思います。財務報告に係る全社的な内部統制に関する評価項目の例／“情報と伝達”には、以下の6項目があげられています。 このうち、全社的な情報システムに対してニーズが明確なのは、1）、それから3）、4）の3項目です。

1）信頼性のある財務報告の作成に関する経営者の方針や指示が、企業内のすべての者、特に財務報告の作成に関連する者に適切に伝達される体制が整備されているか。

↓↓↓↓↓↓↓

情報システムには、経営者の内部統制に関するメッセージなどを全社員に対して、確実に配信し、また把握させる機能が重要になります。

◎強制POP-UP画面表示機能
◎ファイルの操作ログ取得

などが不可欠になります。特に、ファイルの操作ログを取得することで、「社員に対して配信された社長メッセージが確実に閲覧されているか」をチェックできます。逆に閲覧していない社員のチェックも可能になります。

3）内部統制に関する重要な情報が円滑に経営者及び組織内の適切な管理者に伝達される体制が整備されているか。
4）経営者、取締役会、監査役又は監査委員会及びその他の関係者の間で、情報が適切に伝達・共有されているか。

↓↓↓↓↓↓↓

これらの2項目は共通して、客観的な監査レポートの定期作成を要求していると思われます。レポートを通じて、社内の統制活動の有効性を立証することが可能になります。監査委員会が要求するのは、下記のレポートが統合された監査レポートになるでしょう。

◎ユーザID・パスワード管理状況解析レポート
◎重要アプリケーションへのアクセスログ解析レポート
◎機密文書の操作ログ解析レポート
◎不正アプリケーション起動記録解析レポート
◎セキュリティソフトのパッチ適用状況解析レポート
◎個人情報ファイルの運用状況解析レポート
◎セキュリティポリシ違反PCの接続拒否状況解析レポート

有効性を立証するだけでなく、監査レポートの分析によって、社内に潜むリスクを解析できます。また将来的に必要になる対応策の検討も可能になります。

いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

上場企業にとって、2007年は内部統制元年。この準備期間を制する者が、内部統制を制すると言っても過言ではありません。事実、もうすぐ「財務報告に係る内部統制の評価及び監査に関する実施基準」も公開されます。

本シリーズは、金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」記載の、「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、いま一度、情報システムの整備・強化ポイントの把握を目的に進めています。

シリーズ4回目の今回は、「統制活動」に着目します。「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」には7項目があげられていますが、詳細は金融庁のWebサイトを参照していただくことにして、ここでは、全社的な情報システムに対してニーズが明確な、5）、6）、7）の3項目について解説します。

5）統制活動は業務全体にわたって誠実に実施されているか。
6）統制活動を実施することにより検出された誤謬等は適切に調査され、必要な対応が取られているか。
7）統制活動は、その実行状況を踏まえて、その妥当性が定期的に検証され、必要な改善が行われているか。

↓↓↓↓↓↓↓

3つの項目が総じて要求するのは、社内の統制活動の有効性を立証できる、客観的な監査レポートだと考えられます。下記に記した６つの項目に関する監査レポートを定期的に作成、またチェックできる体制の整備が必要になるでしょう。

◎重要アプリケーション(DB)へのアクセス記録
◎ID・パスワードの利用記録
◎利用禁止アプリケーション起動記録
◎機密文書の活用記録
◎個人情報ファイルの管理記録
◎セキュリティポリシ違反クライアントPCのアクセス記録

特に、項目6）には、「誤謬等は適切に調査され、必要な対応が取られているか。」との指摘があることから、監査サポートの自動作成機能を整備することが極めて重要です。監査レポートは、有事の場合、原因究明の証跡としても有効活用できる訳です。

内部統制では、監査データやレポートによって、その有効性を立証することが求められます。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。また12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／情報と伝達」についてご紹介します。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。

金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当て、企業にとって必要な内部統制活動をご紹介している本シリーズ。

今回も前回に引き続き、「リスクの評価と対応」に関する評価項目例に着目します。個々の評価項目例（28ページ目）は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な4項目目の例をご紹介します。

4）経営者は、不正に関するリスクを検討する際に、単に不正に関する表面的な事実だけでなく、不正を犯させるに至る動機、原因、背景等を踏まえ、適切にリスクを評価し、対応しているか。

↓↓↓↓↓↓↓

ここで重要になるのは、不正発生の「原因」と「背景」を、つねに客観的に分析できる体制を整備しておくことをが要求されていると思われます。そこで重要になるのが、操作ログの取得です。つまり、クライアントPC上のあらゆる操作を記録し、「誰がいつ何をおこなったのか」を詳細なログデータとして保存します。また、ログを取得していることを周知することで、クライアントPCを介して起こり得るITリスクを監視、牽制もできます。もちろん有事の場合、原因究明の証跡としても活用できる訳です。具体的には、次のようなログ取得が不可欠になると考えられます。

• 機密ファイル操作ログ
• 個人情報関連ファイルアクセスログ
• 重要DBへのアクセスログ
• メール操作ログ
• アプリケーション起動ログ

内部統制では、このようなデータによって、その有効性を立証していくことが
求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイント
などが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取
得、アプリケーション起動記録などに有効な、
内部統制システム構築に最適なツールを多数ご用意しています。12月1日より
内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。
ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」
にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向
など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジ
ン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。
※配信は「まぐまぐ」を利用しています。

先週、取材で某上場アミューズメント関連企業へお伺いしました。以前お伺いした時と明らかに違ったのは、営業セクションへのエントランス。1年前はITセクションだけだったのですが、営業セクションへのエントランスもICカード化され、入退室が管理されていました。お聞きしたところ、やはり内部統制の一環とのことでした。各社で内部統制の準備が着々と進められていますね。

さて、本シリーズでは、現在金融庁のWebサイトで公開中の「財務報告に係る内部統制の評価及び監査に関する実施基準（公開草案）」に参考資料として登場する「財務報告に係る全社的な内部統制に関する評価項目の例」にフォーカスを当てています。

個々の評価項目例は金融庁のWebサイトをごらんいただくとして、今回は4つある評価項目のなかでも、特に情報システムへのニーズが明確な3項目目の例をご紹介します。

3）経営者は、組織の変更やITの開発など、信頼性のある財務報告の作成に重要な影響を及ぼす可能性のある変化が発生する都度、リスクを再評価する仕組みを設定し、適切な対応を図っているか。

↓↓↓↓↓↓↓

ここで重要になってくるのは、社内に点在するクライアントPCに対する徹底的な管理と機密ファイルや重要アプリケーションに対する統制だと思われます。具体的には、次のような機能整備が不可欠になると考えられます。

• 重要アプリケーションへの不正アクセス防止の徹底
• 機密文書の不正活用防止の徹底
• 不正アプリケーション起動制御の徹底
• 個人情報ファイルの適正な管理状況の徹底
• クライアントPCのセキュリティポリシ遵守の徹底

内部統制では、このようなデータによって、その有効性を立証していくことが求められる訳です。いかがですか。今後の準備期間でのシステム強化ポイントなどが、少しクリアになったでしょうか。

さて、クオリティでは、ユーザID・パスワード管理やアクセスログデータの取得、アプリケーション起動記録などに有効な、内部統制システム構築に最適なツールを多数ご用意しています。12月1日より内部統制に関する特設サイト「内部統制Ｑ救室」もオープンしました。ぜひ一度、お立ち寄りください。

■特設サイト「内部統制Ｑ救室」はこちら>>　内部統制Ｑ救室

次回は、「財務報告に係る全社的な内部統制に関する評価項目の例／統制活動」にフォーカスを当てたいと思います。Dr.QがITサプリをお届けしました。

クオリティから、新技術の話からITの活用が明記された新法制度の解説や動向など、情報システムご担当者様の仕事に役立つ情報をお届けするメールマガジン「情報システムQ救隊」を創刊しました。購読は無料ですのでぜひご購読ください。※配信は「まぐまぐ」を利用しています。