| |
|
|
 |
|
|
|
|
岸 泰弘氏
あらた監査法人
システム・アンド・プロセス・アシュアランス部
プリンシパル、JASA普及促進部会WG2リーダ
ロンドン大学(LSE)情報システム修士課程終了。
システム監査及びセキュリティ、システムリスク管理に関するコンサルティングを多数経験。NPO日本セキュリティ監査協会(JASA)理事。情報処理技術者試験委員。公認情報システム監査人(CISA)。公認情報セキュリティ主任監査人(CAIS)。近日中に「内部統制とSOX」という本(共著)を出版予定。
|
|
|
| 金融商品取引法が成立してから既に半年、その前の企業会計審議会による「財務報告に係る内部統制の評価及び監査の基準(公開草案)」の発表にまで遡れば、一年以上が経過していますが、まだJ-SOXに関する詳細な実務指針は発表されていません。本解説においては、J-SOXについて、情報セキュリティ監査との関連に焦点を当てて説明することを目的としていますが、まだJ-SOXの具体的な内容が不明であるため、米SOXを前提とした話をします。。 |
|
| |
|
|
|
|
|
|
|
既にSOXに関しては多くの記事や出版物が出回り、またセミナーなどが多数実施されているため、ここではこの記事の前提としてご理解いただくべき点のみに焦点を絞って説明します。
ごく簡単に述べると、SOXにおいては、経営者が会社の財務報告に係る内部統制について評価した報告書を提出するのと、それに対して外部監査人が監査を行うことが中心となっています。この前者の立て付けとして、会社は、内部統制を文書化し、それを評価することが(少なくとも米SOXでは)必要とされています。評価というのは、統制の整備状況の評価と運用状況の評価に分けられます。
対象となる内部統制は、「財務報告に係る」という修飾語からもわかるように、会社の財務諸表が出発点となります。この中から量的、質的に重要な科目を選び、その科目に関連する業務プロセスを選択します。こうして選ばれた業務プロセスにおいて、財務報告の信頼性を確保するために役立っている統制(業務処理統制)が、評価の対象となります。これ以外に、会社全体に係る全社的統制、そして上記業務プロセスに係る統制の内、特にITによって実現される統制(IT業務処理統制と呼ばれる)の基盤となるIT全般統制というものがあります。
この内、情報セキュリティ監査に最も関係が深いのは、IT全般統制で、情報システムの開発、変更、運用、そしてアクセス制御等の分野があります。もちろん、アクセス制御の部分が、情報セキュリティ監査と最も緊密なつながりがあることは言うまでもありません。
なお、情報セキュリティの種類をCIA(Confidentiality・Integrity・Availability)で表す場合、SOXに関連するのは、主にIntegrity(及びある程度のAvailability)となります。つまり、データの漏えいは財務報告の信頼性に関係がなく、データの完全性(改ざんから守られていること)が重要なポイントということになります。 |
|
| |
|
|
 |
| |
| |
SOXにおいて、情報セキュリティ監査は次の二つの点での利用が考えられます。
@ 財務報告に係る内部統制活動の一部(主にモニタリング)として
A 経営者による評価の一部として
@については、Security Eye Vol.4の記事においても触れられていましたが、IT全般統制における統制活動として、情報セキュリティ監査の実施が役に立つと考えられます。
一方でAについては、統制活動そのものではなく、経営者の評価において、特にアクセス制御に関する統制の評価として情報セキュリティ監査を利用するという考え方です。ただし、この場合、情報セキュリティ監査そのものを直接的に経営者の評価の一部にできるかどうかは不明であり、会社は外部監査人の意見を確認する必要があります(余談ですが、情報セキュリティ監査の実施そのものが経営者の評価の一部として代替可能ということになれば、情報セキュリティ監査の普及のために大変大きな影響を与えることでしょう)。むしろ、現時点で言えることは、情報セキュリティ監査の手法の一部が、経営者の評価の一部に利用できるのではないか、ということです。
経営者の評価というのは、一般的に、内部監査部門であったり、業務部門から独立したチームによって実施されます。こうした人たちが内部統制の評価を行うに当たって、情報セキュリティ監査の手法が利用できると考えられます。具体的には、文書化された統制(既存の統制)と情報セキュリティ管理基準の比較評価を実施することが、一種の統制の整備状況の評価となり得るでしょう。また、セキュリティの技術的検証などは、統制の運用状況の評価と関係します。
|
|
|
|
| |
|
|
|
|
