ユーザができるリストを用いた自社の内部統制のチェック
内部統制チェックリスト(ERP範囲)
前回は日本版SOX法への取り組みアプローチについて解説しました。最終回の今回は、チェックリストを用いた内部統制のチェックを各項目の解説を交えながら行います。
日本版SOX法対策は対象をERPに絞ればリスクや課題を整理しやすくなります。業務フローにそってリスクを洗い出し、詳細なRCMを作成するのは大変な作業なので、ここでは共通的なカテゴリとチェックポイントを表1にあげてみました。
参考までに、筆者が関わっている完全WebシステムのWeb-ERPである「GRANDIT」が日本版SOX法にどのように対応しているかを付け加 えています。表1を見るとわかるように、どの項目も当たり前のことばかりです。ERPは元々内部統制が考慮されているのでもちろんですが、オーダーメード で作成したアプリケーションでもほとんどの部分が対応できていると思います。
RCMの作成作業において大切なのはITや非ITなどカテゴリに整理して、現状のリスク認識とやるべき作業の洗い出しを行うことです。ユーザ視点でリスク・課題を整理することこそが、今するべき日本版SOX法対応の第一歩といえるでしょう。
内部統制のポイント(ERP範囲)
ここで表1の内部統制チェックリストの各カテゴリについて簡単に説明しましょう。基本的なことばかりですが、自社のシステムがどの程度対応できているかを振り替えりながら読んでいただきたいと思います。
個人認証の徹底
まれにログインの仕組みのないシステムもありますが、通常はシステムを使用する際にユーザIDとパスワードできちんと個人認証しなければなりませ ん。また、ログインする際に1つのパスワードを複数の社員が共用することも禁止されなければなりません。そのためGRANDITではユーザIDと社員番号 を1対1の関係に固定しています。個人認証はアクセスコントロールやトレーサビリティに欠かせない基本機能であり、これが日本版SOX法の最低限のチェッ クポイントとなります。
不正アクセス防止対策
不正アクセス防止のために、多くの企業でパスワード管理が厳しくなっています。「パスワードはある桁数以上とする」「単純な文字や過去に使ったパス ワードは設定不可」「初回ログイン時に強制変更させる」「一定期間経過後に強制変更させる」「連続して数回失敗したらIDを一時失効する」というような厳 しい管理を行う時代になってきたのです。
GRANDITでは、ユーザ企業の必要に応じてこれらの処置を選択できるようになっています。また、ユーザIDの状態を一括して監視・管理できるログインアカウント一覧画面も用意して、不正アクセスの発生をモニタリングしやすくしています。