法律から見たIT全般統制のポイント

法律から見たIT全般統制のポイント

日本版SOX法の中で、IT全般統制の重要な4点

日本版SOX法において、IT全般統制については404条に全ての記述があります。 その条文に対応することが、IT全般統制の対策をするということになります。 404条に書かれている内容は以下の4つになります。 これが内部統制の中のIT全般統制において重要な4点です。


    • ルール1
      企業の財務報告に係る適切な内部統制を確立、維持する責任が経営者にあること
    • ルール2
      企業の財務報告に係る内部統制の有効性に関して必要な評価を行う際、経営者の用いたフレームワークを把握していること
    • ルール3
      企業の財務報告に係る内部統制が有効であるかどうかに関する明確な表明が必要であること
    • ルール4
      監査法人が、企業の財務報告に係る内部統制に関する経営者による評価に対して、監査報告書を発行していることの表明が必要であること

    Enforcive(旧Bsafe)はIT全般統制の有効な対応策

    Enforciveは4つのルールに対応しています。
    以下の図は、4つの条文とEnforciveの機能の関係性を示した表になります。 4つの条文に対して、Enforciveの機能が対応していることがわかると思います。

    IT要件とEnforcive該当機能

    対応策:例(ルール1)

    Enforcive(旧Bsafe)を使ったSystem Journal reportsは、財務報告に係る内部統制として、経営者を助けることに繋がる。

    例として、System Value Changesと object Authority Changes に関して、経営者が財務報告に係る内部統制の実施を助けることができる。

    ルール1(例#2)

    Bsafe application access controlモジュールにより、経営者が定義した内部統制構造に基づき、システム管理をおこなうことができる。

    管理者は、Application Access Controlを使ってライブラリー上からデータが削除出来ないように制御できる。

    ルール1(例#3)

    Enforcive(旧Bsafe) Administration Rolesは、経営者が財務報告に係る内部統制構造の運用を手助けすることになる。

    誰が財務報告書を作成、変更したかがわかる。

    誰が財務報告に係る財務データにアクセスしたかがわかる。

    ルール1(例#4)

    Enforcive/Enterprise Security IDSアラートを使って、経営者は企業の財務報告に係るアクセスをモニター、抑止を行うことができる。

    Emailにアラートを受け取ることにより、財務報告に係る内部統制を確立可能である。

    ルール2(例#1)

    アプリケーション・アクセス・コントロールの Enforcive group permissions capabilityは、 財務報告に係る内部統制を有効にするための方法である。

    管理者は、個人ユーザーへの許可の代わりに、Application Access Control を 使ってグループごとにアクセス許可が可能である。

    ルール2(例#2)

    ユーザープロファイルの変更に対して、*public groupはアクセスできないことがわかる。

    ユーザープロファイルに関して内部統制を有効に行うことができる。 特に財務報告に係る権限変更を行わない制御が必要。

    ルール3(例#1)

    Enforcive Cross Platform Distributed Central AuditはApplication, System, File, Read/Record and SQL Statement audit informationを統合する。

    IT 管理者は、ファイルが変更されたファイル監査を使うことができる。
    更新情報が、レコード、フィールド・レベルで確認できる。誰が変更したか?いつ変更されたか?経営者は、このような詳細情報を表明できる。

    Enforcive/Enterprise Security File Auditにより、経営者は財務報告書にアクセスしたユーザーを発見できる。経営者はこのことを表明できる。