日本版SOX法の施行による内部統制と個人情報保護(4)個人情報の取り扱いを例に内部統制を確立させる（後編）

●STEP3　内部統制の検証、不備の是正

チェックポイント
CP5:内部統制を検証する上で必要な書類は？

STEP2で文書化され、組織で承認されると内部統制が動き出す。しかし確実に内部統制が機能しているのだろうか。STEP3では、内部統制の検証を実施して、不備があれば是正を行っていく。その時、何処が問題で、直した経緯を含めて記録する。SOX対応後方支援者は、膨大な不備を漏れなく記録し、個別に実施される是正状況を把握して管理する。SOX対応が法律施行後、継続的に検証が求められる点、SOX法が改訂する可能性を考慮すれば、最初からデータベースを構築し、SOX対応システムを作って運用させた方が経済的という意見もある。

個人情報に関するシステムに対しては、個人情報保護法に備えて、企業が既に活用している診断リストがある。また、省庁からは個人情報に関するガイドラインが公開されている。これらを参考に、STEP2で作成した業務フロー、リスク評価文書等を組み合わせ、内部統制の検証を実施する。

CP5情報：
SOX対応では、確認できる文書と記録があればよく、明確に要求された文書は無い。一般的に次のような文書を使って内部統制を検証した証拠としている。
＜内部監査の是正処理手順、内部統制基準、全般統制チェックリスト、変更管理ツールからの出力情報、内部統制・全般統制評価報告書＞

【執筆：古川泰弘（神奈川大学非常勤講師）】

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。

◎有料版Scan申込＞ http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm