日本版SOX法を読む(実施基準より)― 内部統制の構築とその評価について(ITへの対応)−(2)
2.IT統制の構築(実施基準I)
全社共通的な統制である「全般統制」と全般統制下で業務プロセス毎の統制である「業務処理統制」の2つのレベルからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要になるとしています。
特集
特集
全社共通的な統制である「全般統制」と全般統制下で業務プロセス毎の統制である「業務処理統制」の2つのレベルからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要になるとしています。
<ITに係わる全般統制>
業務処理統制が有効に機能する環境を保証するため、複数の業務処理統制に関係する方針と手続きを指します。
以下のような具体例が挙げられています。
・ITの開発・保守に関する管理
・システムの運用管理
・内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理
<ITに係わる業務統制>
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために、業務プロセスに組み込まれたITに係わる内部統制です。
以下のような具体例が挙げられています。
・入力情報の完全性、正確性、正当性等を確保する統制
・例外処理(エラー)の修正と再処理
・マスタ・データの維持管理
・システムの利用に関する認証、操作範囲の限定などアクセスの管理
3.ITを利用した内部統制の評価(実施基準II)
ITシステムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。
(1)評価範囲の決定
a.業務プロセスとシステムの範囲
どの範囲までを評価するかについては…
NTTデータ・セキュリティ | セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
【執筆:東京大学 林 誠一郎】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》
