内部統制 いよいよ本番へ! IT全般統制不備改善の取り組み
2008年4月より本番年度を迎えた日本版SOX法。多くの企業では文書化・評価を終え、不備改善への対応が急ピッチで進んでいますが、項目数の多さ、難易度の高さなど、その取り組みは必ずしも容易ではないようです。そこで、今回は、富士通自身の実践とお客様支援の経験からわかってきた事例と、代表的なソリューションをご紹介します。
[連載索引] 内部統制 | IT全般統制不備改善の取り組み | IT全般統制を支援するソリューション | 整備・運用状況を評価し、改善へ | 不備改善の把握に利用シーンレベル全集 | お客様の最良のパートナーに |
日本版SOX法における各企業の対応状況
各企業の対応状況
金融商品取引法により義務付けられた内部統制報告制度(通称、日本版SOX法)は、多くの上場企業とそのグループ企業において本番年度に入りました。3月決算の企業では内部統制報告書の提出まで、残り1年余りとなりました。
理想を言えば、2007年度中に評価・不備改善を終え、1年かけて本番運用を、というところですが、2007年10月末~12月に日本情報処理開発協会(JIPDEC)が実施した、上場企業508社のシステム部門の責任者を対象にした調査では、「ほぼ完了」および「かなり対応した」と回答した企業は47%との結果が出ています。
このことから、現実には2008年度のなかばまで、評価・不備改善を実施する企業が少なくないようです。
日本版SOX法対応で見えてきたこと
2007年2月に富士通総研が実施したアンケート調査によれば、文書化作業やリスク評価の困難さの次に、ITへの対応を課題としてあげている企業が多数ありました。なかでも
- 職務分掌見直し、権限・承認機能見直し
- システムの標準化や統合
- ITシステムへのアクセスコントロール強化
- 証憑や証跡の取得、管理
- 重要データの一元管理
といった項目が上位にあがっていました。
当社ではこれまで数多くのお客様からのご相談を受け、支援をしてまいりましたが、その中で見受けられたITにかかわる指摘事項は、上記でご紹介したアンケート結果と同様の傾向にあります。具体的には、ID管理やアクセス状況のモニタリングといったセキュリティに関する部分が多く、次に証跡管理に関するものが多いようです。
また、運用管理や開発管理にかかわる規程や手順を記載したドキュメントが不十分である、という指摘が全般にわたって見られました。
これらは、運用管理や開発管理をより厳格に遂行し、その記録を残すことによって第3者から見た妥当性を確認できるようにすることを求めているものであり、運用においては人手による対応が必須です。
不備改善にあたっては、その対応をより効率よく、より正確に実施できるようにするために、ITツールの適用や、情報システムそのものの構成や機能を検討していくことになるかと思います。
IT全般統制を支援するソリューションとは[2008年5月1日 公開]
-
内部統制を支えるIT全般統制不備改善
ジャーナル最新のテーマ
お客様の声をお聞かせください
富士通ジャーナルに掲載している記事やコンテンツについてのご意見・ご感想を、ぜひお寄せください。
お寄せいただいたご意見・ご感想については、富士通からの回答をお約束するものではありません。ご了承ください。
なお、富士通からのご回答を必要とするお問い合わせについては、
富士通ジャーナルに関するお問い合わせをご利用ください。
