内部統制強化支援
内部統制システムが不可欠
新会社法(5月1日施行)では、コーポレート・ガバナンスの見直しや内部統制システム構築の基本方針策定が義務付けられました。 2006年6月7日に国会で成立した金融商品取引法(通称:日本版SOX法)では、上場企業に対して「内部統制システムの構築」と内部統制の評価結果を「内部統制評価報告書」として提出することを義務付けています。 このように、今日、組織が効率的に運営されるよう、各業務で所定の基準や手続きを定め、それに基づいて管理・監視・保証を行う内部統制システムが求めらているのです。
データベース監査から統制支援
2005年12月8日に企業会計審議会の内部統制部会によって取りまとめられた報告書「財務諸表に係る内部統制の評価及び監査の基準のあり方について」では、日本版の内部統制フレームワークが記載されています。それは、事実上世界標準であるCOSOフレームワークに「ITへの対応」という要素が加えられましたもので、ITに関わる統制の重要性が高まっていると言えます。
内部統制において、企業の資産を保全し、会計記録の正確性、財務情報の信頼性を確保するためには、全ての情報資産を保管するデータベースの監査は不可欠です。
PISOでは、内部統制システムのフレームワークの要素であるリスク評価、モニタリングの観点からIT統制を支援します。
内部統制の改善を支援するソリューション
内部統制の評価では、様々な不備が発見されます。
- 米国でみれれる、IT統制の主な欠陥の例
-
- 会計/財務システム(データベース)へのアクセスコントロール不備
- 職務分離が不適切
- 本番環境で、開発者が操作できる
- 多くのユーザが特権ユーザとして処理を行える
- 退職社員やコンサルタントが、今だにシステムにアクセスできる
- PISOによるソリューション(例)
-
リアルタイム警告
- 業務レベルで、不正なアクセスやデータの改ざんを発見し防止
- 職務分離対策の支援として、特権ユーザや内部関係者に対しても監視
- 組織あるいは全社レベルで、データの信頼性を確保
- 内部統制教育だけでは補えない部分を、アクセスコントロール・システムとして補う
※PISOが導入された企業では自然に社員モラルが向上します(ぷららネットワークス事例紹介)