日本版SOX法を読む(実施基準より)― 内部統制の構築とその評価について(ITへの対応)−(2)
2.IT統制の構築(実施基準I)
全社共通的な統制である「全般統制」と全般統制下で業務プロセス毎の統制である「業務処理統制」の2つのレベルからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要になるとしています。
特集
特集
全社共通的な統制である「全般統制」と全般統制下で業務プロセス毎の統制である「業務処理統制」の2つのレベルからなり、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要になるとしています。
<ITに係わる全般統制>
業務処理統制が有効に機能する環境を保証するため、複数の業務処理統制に関係する方針と手続きを指します。
以下のような具体例が挙げられています。
・ITの開発・保守に関する管理
・システムの運用管理
・内外からのアクセス管理などシステムの安全性の確保
・外部委託に関する契約の管理
<ITに係わる業務統制>
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために、業務プロセスに組み込まれたITに係わる内部統制です。
以下のような具体例が挙げられています。
・入力情報の完全性、正確性、正当性等を確保する統制
・例外処理(エラー)の修正と再処理
・マスタ・データの維持管理
・システムの利用に関する認証、操作範囲の限定などアクセスの管理
3.ITを利用した内部統制の評価(実施基準II)
ITシステムによって作成される財務情報の信頼性を確保するための内部統制を評価する必要がある。
(1)評価範囲の決定
a.業務プロセスとシステムの範囲
どの範囲までを評価するかについては…
NTTデータ・セキュリティ | セキュリティ対策コラム
http://www.nttdata-sec.co.jp/column/index.html
【執筆:東京大学 林 誠一郎】
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
◎有料版Scan申込> http://www.ns-research.jp/cgi-bin/ct/p.cgi?m02_ssm
《ScanNetSecurity》
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査
-
クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信
-
「味市春香なごみオンラインショップ」に不正アクセス、16,407件のカード情報が漏えい
-
SECON 2024 レポート:最先端のサイバーフィジカルシステムを体感
-
トレーニング 6 年ぶり復活 11/9 ~ 11/15「CODE BLUE 2024」開催