「内部統制の例を幾つか説明してみて」なんて言われたら、逃げ出したくなる。
しかし、それほど難しく捉える必要はない。内部統制は「不正を無くすための活動」と言うだけの話だ。
- a. 壁に「不正経理は絶対ダメ」と言うポスターを貼る (統制環境)
- b. 事務所の現金をチョロマカス奴でるか?を分析する (リスクの評価と対応)
- c. 部長やメンバの権限を、キッチリと規程にまとめる (統制活動)
- d. 顧客からのクレームが必ず複数人に伝わる仕組みにしておく (情報と伝達)
- e. 他部署の管理職者にも業務日報が閲覧できるようにしておく (モニタリング)
ただ、今日に至り注意すべきは、こういった活動もコンピュータやインターネットの活用を無視できない点だ。すなわち、全ての会社は、(1)会社を取り巻くIT環境を理解し、(2-1)これらの活動を支える様なITの利用を促進し、また同時に、(2-2)活用ITそのものをキッチリと管理できなければならない。事実、日本の内部統制は、上記5つに「ITへの対応」を加えた6つの観点で評価される。
以下のワークフロー定義は、情報システムの「利用者アカウントを新規発行」する業務だ。「内部統制」の根幹を支える業務と言っても過言ではない。
業務フロー図を眺めてもらえば分かるが、「アカウント発行」の他に「アカウントの削除」や「緊急時の発行削除」にも対応している。つまり、今現在の活用されている全てのユーザアカウントは、いつ申請され、いつ上司承認されたモノなのか、いつでも確認できるようになる。加えて、ここに流れた申請データは、
- 「適切な時期に申請されているか?」
- 「無用なアカウントが発行されていないか?」
- 「アカウント発行のチェック体制は十分に機能しているか?」
[システムID管理業務(PWリセット業務を除く)]
[システムID管理業務(PWリセット業務を除く):「1.新人アカウント発行依頼」画面]
ところで、「ITを管理する」と一言で言っても、例えば
- (x) 全ての業務データが情報システムにキチンと登録されているかを確認する活動
- (y) 情報システムへのアクセス権などが適切に設定されているかを確認する活動
ここで紹介した「システムID管理業務」の様な業務は、基本的には「ITに係る全般統制(y)」と呼ばれる領域で、IT基盤側の業務だ。とは言うものの、IT基盤を統制する業務自体にもITを利用しているワケで、、、ヤッパリ、全ての業務データがキチンと登録されている事を確認する必要もある。(わ、、、ヤヤコシイことを書いてしまった)
<メール設定画面:発行通知>
<データ項目一覧画面>
[雛形ダウンロード (無料)]
- 業務テンプレート:システムID管理業務(PWリセット業務を除く)
- パスワード再発行をセキュアに行う業務フロー (2011-09-05)
- 各管理者が並行してアカウント発行するフロー (2011-03-29)
- アカウント発行の一週間後「仮パスワード変更」を確認 (2010-12-11)
0 件のコメント :
コメントを投稿