内部統制報告制度への対応

内部統制報告制度への対応

 内部統制報告制度とは、有価証券報告書の開示内容の信頼性を確保する為に、上場企業に対して義務付けられた制度で、平成20年4月1日以降に開始する事業年度から適用されています。
 エンロンやワールドコム等による企業不祥事を受けて2002年に米国にて制定されたサーベインズ・オクスリー法(SOX法)に倣って導入された為、日本版SOX法とも呼ばれています。

 経営者は、自社で行われているすべての業務及び社員の行動を把握することが困難である為、それに代わり、企業内に有効な内部統制のシステムを適切に運用することで財務報告の適正性及び信頼性を確保することを、同制度は求めています。

内部統制の評価及び監査は以下の6つの基本的要素から構成されています。
  1. 統制環境
  2. リスクの評価と対応
  3. 統制活動
  4. 情報と伝達
  5. モニタリング(監視活動)
  6. IT(情報技術)の利用

 「6.ITの利用」に係る業務プロセスのIT化に伴い、運用する情報システム(アプリケーションやサーバ、機器)が適切に動作していることを確保する必要があります。このシステムが不適切に動作するようなことがあったり、システムを直接操作しているユーザが意図的に(または不注意で)適切な操作をしないことで、内部統制の目的を達成できない事態が発生する可能性があります。ITの利用を踏まえた内部統制には、システムの運用状況のログ(記録)を適切に管理し保存することも求められています。

システム管理基準 追補版(財務報告に係るIT統制ガイダンス)

運用の実施記録、ログの採取と保管
「情報システムはアクセス記録を含む運用状況を監視することが望ましく、また、情報セキュリティインシデントを記録し、一定期間保管すること」 「情報システムで発生した問題を識別するために、システム運用の作業ログ・障害の内容ログ及び原因ログを記録し、保管すること。取得されたログは内容が改ざんされないように保管することが望ましい。
統制の例 情報システムとデータ処理について、企業にログ採取・分析についての方針があり、それに基づいてログが採取されて、必要な項目がモニタリングされている。
統制の例 情報システムとデータ処理のログが取得されて、ログファイルの完全性、正確性、正当性を保証される(ログが改ざんされずに記録され、保管されている)。



内部統制(IT全般統制) 出力レポート例

内部統制(IT全般統制) 出力レポート例

レポート レビュー観点
ログイン成功一覧 ローカル/ネットワーク越しからのログイン成功履歴を確認する。
ログイン失敗一覧 ローカル/ネットワーク越しからのログイン失敗履歴を確認する。
パスワードの変更履歴一覧 パスワード変更の実施履歴を確認する。
特権権限への昇格の一覧 特権権限の昇格者と昇格時間を確認し、通常運用における操作で無い場合は、操作履歴を確認する。
特権権限での操作履歴 特権権限での操作履歴を確認する。
機密情報/個人情報へのアクセス一覧 機密情報/個人情報へのアクセス履歴を確認する。
アカウントの登録/削除 アカウントの登録/削除、権限変更の履歴を確認する。
ポリシーの変更履歴 ポリシーなどが変更されている場合は、管理責任者に妥当性を確認する。
システム障害履歴 システム障害ログの履歴を確認する。

出力レポート/ログトレース イメージ

(クリックして拡大)