日本版SOX法、実施基準を待ってどうするの?(2/2 ページ)

» 2006年08月31日 10時29分 公開
[堀哲也,ITmedia]
前のページへ 1|2       

アクセス管理と変更コントロールはできているか?

 特にアクセス管理ができていない傾向にあるという。誰が売上データを入力でき、誰が変更できるのか、承認は誰が行うのか、といった会計データに対するアクセス管理は内部統制において必須の項目。定められた職務分掌に従ってシステムに反映していく必要があるが、しっかり行えているところはまだ少数だ。

 「システムの重要性にもよるが、経営者評価として社員リスト、退職者リストといった人事データと突き合わせ、ちゃんと退職者は削除されているか、職務権限に合致したアクセス権になっているか、抽出検査が必要になる」(丸山氏)

 変更コントロールも早めに対処すべき全般統制の1つだ。会計処理を行うシステムのプログラム自体が承認なく変更されていないか、これを管理するのが変更コントロールとなる。「開発と運用で役割を分け、本番プログラムを勝手に変更できないようにすることが重要。中小企業にとっては、開発者が本番環境のプログラムを変更しなければ業務が回らないという事情も分かる。その場合でも、未承認の変更が行われていないことを発見する仕組みが必要になる」という。

 監査においては「変更されたプログラム一覧リストからサンプルを抽出し、変更が承認されているか確認する手続きが必要だ。変更されたプログラムを網羅的にリストするには、ITの活用を考えるのが現実的だろう」。特にWebベースのアプリケーションの変更コントロールが十分でない場合が多く、特に注意すべき点となる。

監査法人から指摘されている不備はないか?

 丸山氏によると、これまでの会計監査でも内部統制を確認していた。その結果を見ると、全般統制に不備があるケースが多いという。特に中小企業になるほど、その傾向が強いようだ。「監査法人に指摘されている不備があるなら、そこから早急に是正を行っていくのがいいだろう」。

 日本版SOX法では、内部統制が有効でなければ経営者は正直に有効でないと言えば違反にはならない。しかし、東京証券取引所は、重要な欠陥があるとの意見が2年後にも改善されず、同様の意見が出された場合、上場廃止などを検討するという意見書を公表してもいる。対策を怠るわけにはいかないだろう。

 いま求められているのは、待ちの姿勢ではなく、迅速な動きといえそうだ。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ