TOP
>
情報セキュリティ
> 内部統制構築の進め方
データベースセキュリティとコンプライアンス〜個人情報保護法から日本版SOX法へ〜
第3回:内部統制とデータベースセキュリティ
著者:
アイピーロックス ジャパン 渡辺 良一
2006/4/21
前のページ
1
2
3
次のページ
内部統制構築の進め方
では、米国におけるSOX法対応の事例を基にして、内部統制の仕組みを構築する際の進め方を見ていくことにしましょう。
まず内部統制を構築するにあたり、財務報告に関連した現時点の業務処理フロー図を作成します。このフロー図の中では、それぞれの処理で使っているITシステムや担当者、責任者なども明確にしておきます。これは監査において業務処理が正しく行われているかを検証するための業務マニュアルにもなります。日本の企業ではこのようなドキュメントをきちんと整備していないケースが多いために、通常ここで多大な労力を必要とするのです。
次に、業務処理の中でどのようなリスクが起こる可能性があるかについて検討しましょう。考えられるリスクとして以下があげられます。
単純な人為的ミス(システムへの入力ミス)
1人の人に権限や処理が集中しており、他者のチェックが効かないこと
ITシステムが持つリスク
OSやネットワークのリスク
アプリケーション・プログラムのリスク
データベースのリスク
表1:業務処理に内在するリスク
リスクの洗い出しが終わったら、それぞれのリスクについてその発生の可能性と想定被害額を見積もります。数字で見積もることができない場合は大・中・小で分類してもかまいません。
この結果、発生の可能性が高く、想定被害額の高いリスクから順番にそのリスクを軽減したり、無くしたりすることができるような内部統制の仕組みを検討していきます。ここでの成果物は通常リスクコントロールマトリクスと呼ばれています。
この時点で、読者の皆さんは経理処理に関連した業務処理だけをとっても、数多くのリスクが存在することに気づかれるでしょう。日本版SOX法の施行が2009年3月に延びたからといって、あまりのんびりとしてはいられません。
各リスクに対する内部統制の仕組み(多くは第三者による確認やITによる自動化)の設計ができたら、その仕組みを実際に運用してリスクが発生しないようにし、さらに社内または社外の監査人によって内部統制の有効性チェックを行うことで、SOX法対応が完了します。
図2:SOX法対応のための内部統制構築手順(図中の年月は日本版SOX法を想定)
(画像をクリックすると別ウィンドウに拡大図を表示します)
前のページ
1
2
3
次のページ
著者プロフィール
アイピーロックス ジャパン株式会社 マーケティング本部長
渡辺 良一
これまでに国内の自動車会社、米国系銀行においてデータベースシステムの開発と運用を経験。その後ERP、BPMツール、SOX法の監査支援ソフトの販売とサービスビジネスに従事した後、2005年11月にマーケティング本部長としてアイピーロックス ジャパンに入社、現在に至る。
http://www.iplocks.co.jp
INDEX
第3回:内部統制とデータベースセキュリティ
はじめに
内部統制構築の進め方
データベースセキュリティによる内部統制
