[ThinkIT] 第5回：ユーザができるリストを用いた自社の内部統制のチェック (1/3)

TOP＞業務システム＞内部統制チェックリスト（ERP範囲）

ユーザ視点からの実践的ERP入門～日本企業の文化に適したERPとは

第５回：ユーザができるリストを用いた自社の内部統制のチェック
著者：システムインテグレータ梅田弘之 2006/9/6

1 2 3 次のページ

内部統制チェックリスト（ERP範囲）

前回は日本版SOX法への取り組みアプローチについて解説しました。最終回の今回は、チェックリストを用いた内部統制のチェックを各項目の解説を交えながら行います。

日本版SOX法対策は対象をERPに絞ればリスクや課題を整理しやすくなります。業務フローにそってリスクを洗い出し、詳細なRCMを作成するのは大変な作業なので、ここでは共通的なカテゴリとチェックポイントを表1にあげてみました。

表1：内部統制チェックリスト（ERP範囲）
（画像をクリックすると別ウィンドウに拡大図を表示します）

参考までに、筆者が関わっている完全WebシステムのWeb-ERPである「GRANDIT」が日本版SOX法にどのように対応しているかを付け加えています。表1を見るとわかるように、どの項目も当たり前のことばかりです。ERPは元々内部統制が考慮されているのでもちろんですが、オーダーメードで作成したアプリケーションでもほとんどの部分が対応できていると思います。

RCMの作成作業において大切なのはITや非ITなどカテゴリに整理して、現状のリスク認識とやるべき作業の洗い出しを行うことです。ユーザ視点でリスク・課題を整理することこそが、今するべき日本版SOX法対応の第一歩といえるでしょう。

内部統制のポイント（ERP範囲）

ここで表1の内部統制チェックリストの各カテゴリについて簡単に説明しましょう。基本的なことばかりですが、自社のシステムがどの程度対応できているかを振り替えりながら読んでいただきたいと思います。

個人認証の徹底

まれにログインの仕組みのないシステムもありますが、通常はシステムを使用する際にユーザIDとパスワードできちんと個人認証しなければなりません。また、ログインする際に1つのパスワードを複数の社員が共用することも禁止されなければなりません。そのためGRANDITではユーザIDと社員番号を1対1の関係に固定しています。個人認証はアクセスコントロールやトレーサビリティに欠かせない基本機能であり、これが日本版SOX法の最低限のチェックポイントとなります。

不正アクセス防止対策

不正アクセス防止のために、多くの企業でパスワード管理が厳しくなっています。「パスワードはある桁数以上とする」「単純な文字や過去に使ったパスワードは設定不可」「初回ログイン時に強制変更させる」「一定期間経過後に強制変更させる」「連続して数回失敗したらIDを一時失効する」というような厳しい管理を行う時代になってきたのです。

GRANDITでは、ユーザ企業の必要に応じてこれらの処置を選択できるようになっています。また、ユーザIDの状態を一括して監視・管理できるログインアカウント一覧画面も用意して、不正アクセスの発生をモニタリングしやすくしています。

1 2 3 次のページ

著者プロフィール
株式会社システムインテグレータ代表取締役梅田弘之
東芝、住商情報システムを経てシステムインテグレータを設立。前職で日本最初のERP「ProActive」を作ったノウハウをベースに、「Web Shopping」「Object Browser」「作って教材」などの自社ソフトを次々開発して、パッケージビジネスを展開。最近は「アプリケーションは日本の方が上」という信念のもと、完全Webベースの第3世代ERP「GRANDIT」の企画・開発を担当した。

この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。
ご意見、ご要望にお応えします！インプレスIT INSIDE

INDEX
第5回：ユーザができるリストを用いた自社の内部統制のチェック
	内部統制チェックリスト（ERP範囲）
	アクセス可能機能の制限
	マスタとトランザクションのデータ整合性

ユーザ視点からの実践的ERP入門～日本企業の文化に適したERPとは
第1回	ERPの概要と導入のポイント
第2回	アンバランスな業務とERPの関係
第3回	海外進出する日本のパッケージベンダ
第4回	「SOX法」に踊らされないために知っておくべき内部統制とERPの関係
第5回	ユーザができるリストを用いた自社の内部統制のチェック