■SOX法時代のセキュリティ体制へ■徹底解説!! 財務報告に係わるIT統制ガイダンスその10(前編)

2008年4月1日の内部統制システム正式稼動に向けて、多くの上場企業で準備が進められています。IT統制の準備段階で、システム整備の指針として役立つのが、経済産業省からリリースされた「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(※以下、追補版)です。

前回に引き続き、事例の豊富な追補版の付録である「付録2．システム管理基準の統制目標」に注目したいと思います。(追補版のPDFでは、P99からはじまります)

今回は情報戦略／コンプライアンスに関する管理項目と、その趣意、つまり目的に着目します。追補版では情報戦略／コンプライアンスに関する管理項目について5つの項目が対象として掲載されていますが、今週は前編として対象項目の(1)と(2)について解説します。

全体最適化計画の策定に関する管理項目と趣旨、
および想定されるシステム強化ポイント
■情報戦略／コンプライアンス■

(1)法令及び規範の管理体制を確立するとともに、管理責任者を定めること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として、法令及び規範の所管部署を明らかにし、管理体制を確立するとともに、管理責任者を定めて管理を推進する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
管理体制は人員の配備だけでは不十分です。人員による管理体制強化は業務効率の悪化につながります。やはり、ITによって、社内(社員・業務)の法令と規範違反を許さない監査体制の構築が重要です。クライアントPCのファイル、操作、全てを管理可能にすることで、社内の全ての業務を監査体制下におくことが可能となります。

(2)遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。

↓↓↓↓↓↓↓↓

◎趣旨(目的)
法令及び規範を遵守し適切に管理していくためには、組織として遵守すべき法令及び規範を明確に識別し特定することが必要である。その上で、特定した法令及び規範を関係者に知らせるための教育体制を確立し、関係者に周知徹底する必要がある。

↓↓↓↓↓↓↓↓

◎システム強化ポイント
◎日本版SOX法　◎個人情報法保護法　◎著作権法　◎不正アクセス禁止法　◎e文書法の5法への対応は欠かせません。この5法をITによって遵守させる、言い換えれば違反のできない基盤を整備することが重要です。その第一段階として取り組む必要があるのが、ITによる全てのクライアントPCに対する監査体制の強化です。

いかがでしょうか、今後のシステム強化ポイントがクリアになったでしょうか。クオリティでは、これらシステム強化に即活用できるツールをご用意しています。ぜひテクノロジーサイトでご確認ください。Dr.QがITサプリをお届けしました。 次回も引き続き「システム管理基準の管理項目と統制目標の対応」を解説します。

現在クオリティでは、今回ご紹介した「システム管理基準の管理項目と統制目標の対応」をベースに設問を作成した「内部統制チェックテスト2」を公開しています。質問に答えることで、御社のIT統制の到達度をチェックできます。
ぜひトライしてください。