Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 4

Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 5

Deprecated: Function session_register() is deprecated in /home/internal-control/public_html/kako_toku.php on line 6
過去の特集 - [LANDMARK for J-SOX]
過去の特集
  2009年3月
やりすぎJ-SOXの終焉。そして2年目に向けて。

  2008年9月

職務分掌に関する代替統制

  2008年8月

「慣れ」と「思い込み」がこわいAfter 1ST J-SOX

  2008年6月

決算・財務報告プロセスがやはり最大の難関?

  2008年1月

「情報と伝達」の再確認

  2007年12月

今一度、虚偽記載リスクに関する根本的な考え方を整理してみましょう。

  2007年11月

評価対象とならなかった業務プロセスに関する落とし穴

  2007年10月

作業量を減らす(2)

  2007年9月

作業量を減らす(1)

  2007年8月

決算・財務報告プロセスは大丈夫ですか?

  2007年7月

アクセス管理(IT)について考える。

  2007年6月

原価計算プロセスをどう考えるか?

  2007年5月

基本的な隠ぺい事例を通じて、資産流用と職務分掌との関係を再確認しておきましょう。

  2007年4月

内部統制監査開始まで残り12ヶ月。 さぁラストスパート !!
7月の特集
7月の特集 過去の特集は コチラ
  アクセス管理(IT)について考える。
6月の特集 過去ITを使った不正事件というのは一体どれだけあったのでしょうか?
ITは確かに改ざんのおそれはあります。しかしそのリスクは紙の書類も同様です。
修正液や修正テープまたは二重線による修正、これらの修正は修正禁止としない限りいずれも上長の承認前の修正か承認後の修正か明らかではありませんので改ざんの余地ありです。修正箇所について上長も捺印すればこの問題は解決できます。しかし、そうなると全ての文書が契約書のような厳格さを求められることになりますが。そこまでJ-SOXは求めているのでしょうか?
ITのアクセス管理について非常に厳しいことを記載している本をよくみかけます。
しかし紙の書類の保管方法やそのロッカーの鍵の管理などについて言及している書籍は見かけません。このアンバランスに非常に違和感を受けます。ロッカーの鍵なんて、鍵屋に行けば一瞬で複製できますよね。ということは承認後で次に回覧するまでの文書をロッカーに入れて保管していた場合に改ざんすることが可能ですし、誰がロッカーを開けたかの記録も残っていないため、アクセス記録をモニタリングも無理です。
しかし、そこまでのレベルをJ-SOXは求めているのでしょうか?
実務上答えはNoでしょう。
 「鍵は責任者がしっかり保管して下さいね。」程度です。そしてそのロッカーを開けることが許された人物にのみ鍵を貸与することになりますが、その記録まではつけていませんよね。またこの「記録の不備」をもって内部統制上の不備とはならないでしょう。
これが不備ではないとするのであれば、IT統制のアクセス管理も、アクセス可能な人物を制限できていればそれでいいのではないかということになるのではないでしょうか。
となれば誰がいつアクセスしたか、不正なアクセスがなかったかモニタリングせよというのはJ-SOXにおいて不備ではないということになります。
 もしそこまで求められるのであれば、モニタリングに実効性を持たせるためにITのツールへの投資をJ-SOX制度が要求することになり、実施基準の第1部で言うところの『ITへの対応を基本的要素に加えたことは、組織に深くITが浸透している現状では、業務を実施する過程において組織内外のITに対し適切に対応することが、内部統制の目的を達成するために不可欠となっていることを示したものであって、組織に新たなITシステムの導入を要求したり、既存のITシステムの更新を強いるものではない。』に反することになります。
印鑑やサインの成りすまし、請求書の発送は本当に行われているのか、別の偽造請求書が発行されていないか、銀行からの残高証明書は本物か、その社印は本物か、カラーコピーではないかなど疑いだしたらきりがないわけですがこれらに関してRCMには通常登場しませんよね。
にもかかわらずITに関しては徹底的に疑っている、そこにアンバランスを感じます。
IT統制は大事ですし、大量かつ一気に改ざんや消去ができるというリスクが高いことも理解しています。しかし、客観的にみるとIT統制、特にアクセス管理について騒ぎすぎの感があるのは否めません。会社が任意でIT統制を強化することには大賛成ですし、特にIT依存度が高い会社はアクセス管理につきJ-SOXに関係なく強化すべきところです。しかし、IT依存度が低い会社にまで同じレベルを求めるのはどうでしょうか?small cosoでもIT依存度の高い低いで分けています。
御社はいかがでしょうか?

.