ID管理解説

クラウドID管理のリスクと課題「 内部統制 」

ID管理のリスクと課題「内部統制」として、「内部統制とは」「内部統制の導入メリット」「情報技術分野における内部統制」について紹介します。

「内部統制」とは

概要

企業などのすべての組織に対して「組織に悪影響を及ぼす脅威」や「組織資産を損失させる脅威」が発生する可能性は常に存在しています。

すべてのビジネスには、「悪意はないがリカバリーに大きなコストが必要となる単純な操作ミス」から「企業に大規模損害を与える悪意のある不正操作」など、さまざまなリスクが存在し続けます。

企業防衛のためには、発生する理由に関係なく、「組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を確立しておく必要があり、これが「内部統制」という考え方になります。

内部統制には「監査」「予防」「是正」の3つの主要なタイプがあり、「問題を防止し組織の資産を保護するために実装されるポリシーや手順」「技術的な保護手段」などが含まれます。

これらのコントロールには考慮すべき制限もあり、システムの継続的なレビューおよび監視が不可欠となります。

「監査的内部統制」とは

監査的内部統制とは、対象となる問題発生後に使用される統制で、問題発生現場に足を踏み入れ、何が起きたのかを洗い出し、検証を実施する手法です。

主な検証項目

・問題が発生した原因は何か?
・問題発生が可能となった失敗したプロセスは何か?
・同様な問題が将来再び発生しないようにするために実装できるポリシーはあるか? など

実施例

・内部監査
・レビュー監査
・調整監査
・財務報告監査
・財務諸表監査
・実地棚卸監査 など

「予防的内部統制」とは

予防的内部統制とは、ネガティブなイベントの発生を回避するために導入される統制項目です。

実施例

・アプリケーション内の入力値チェック機能—誤った情報の入力を回避または最小限に抑える
・職務分離—「小切手を書く担当」と「支払いを承認する担当」を分ける
・アクセス制限エントリポイント管理—ビデオ監視、ID資格情報確認、警備員配置
・スタッフ管理—トレーニングプログラム
・資産保護—ファイアウォール設置、サーババックアップ など

「是正的内部統制」とは

是正的内部統制は、通常、監査的内部統制において、問題を発見した後に実施される統制です。

「再発防止のために是正方法を確立し適用するプロセス」を指します。

実施例

・ポリシー修正
・ドキュメント修正—財務諸表、ビジネスドキュメント
・ソフトウェア修正—パッチ適用、コード修正
・当該スタッフの懲戒処分 など

内部統制の導入メリット

内部統制は、ビジネス内の秩序(プロトコル)を確立するための「結束」と「一貫性」を提供します。

事業主はプロトコルを確立し、手順に従う方法の境界を設定し、有効性と正確性について定期的に状態を確認します。

①プロセス確立

内部統制は「業務遂行に関するプロトコル(手順)の概要」を示すため、従業員は「職務の遂行方法や従うべき手順」を推測して実施する必要はありません。

内部統制は「生産性」「モチベーション」「コンプライアンス」を向上させるために厳密に文書化されます。

「さらなる効率向上およびエラー減少」のために、必要に応じて内部統制は変更され、従業員に即座に通知される必要があります。

②職務分離

内部統制により「職務分離」を確立できます。

チェックシステム構築

職務が明確に分離されることにより、チェックとバランスのシステムが構築され、「利害衝突回避」「財政的管理ミスの減少」などのメリットがもたらされます。

分業が促進されることで、すべての部門とすべての従業員の活動をチェックしやすくなります。

作業ミス低減

各従業員は「自分に割り当てられた作業」のみを実施します。

自分の作業が他の人によって独立してチェックされていることを意識することで、常に注意を払うことができるようになり、作業ミスの低減につながります。

③説明責任の明確化

内部統制により役割を指定された主要メンバーは、年間を通じて監視と報告を実施する責任が生じるため、「問題点発見→改善実施」が迅速化されます。

説明責任改善は、企業が「規制および法定の提出要件」に準拠し続けることを意味し、データについての「送信」「記録」「共有」「報告」などの方法に関して明確に概説されている場合に、説明責任が達成されます。

④リソース最適化

内部統制プロセスは「リソース最適化を促進するためのツール」としても使用できます。

「十分に活用されていないリソース」や「無駄になっているリソース」を把握できるようになるため、適切に修正することで、企業経費も最適化できます。

⑤プロセス監視改善

内部監査プロセスが実装されると、管理者は有効性を継続的に監視することで、「プロセスが正常に機能しているか?」「プロセスに改善の必要性が発生していないか?」などを判断できます。

問題が発生していた場合は、早期のプロセス改善を実施することで、組織としてパフォーマンスを維持(向上)できます。

⑥運用効率向上

内部統制によって、プロセスにおける「不要(重複)ステップ」を削除することにより、運用効率が向上します。

これには「手作業の自動化」や「費用効果の高いツール導入」などが含まれます。

⑦従業員のパフォーマンス向上

内部統制は、必要に応じて改善を行うためのプロトコルと手順を定義されることにより、従業員の作業ミス低減に役立ちます。

「プロトコル+手順」が明確になることで、従業員は「自分に期待されること」と「日常のタスクを完了する方法」を理解します。

継続的トレーニング

企業は、従業員を効果的にトレーニングすることにより、企業価値を高めることができます。

「オリエンテーション」「コンピュータシステム習熟」「ワークプロセス学習」「セキュリティ研修」などの継続的なトレーニングプログラムの実施が必要となります。

不正検出

内部統制システムでは、プロセス内の1人の従業員によって行われた作業は、別の従業員によってチェックされるように構成されます。

このような環境では、従業員の間で共謀がない限り、「従業員または経営者による資金の不正流用」などの不正は漏れなく検出され対処されます。

このような環境は、熱心かつ正直に働く従業員にとって、モチベーションを高めることにもつながります。

⑧機密情報管理

内部統制では、「クライアントデータや企業機密データ管理」において「データにアクセスするためにパスワードを要求する」など、「情報セキュリティに関する各種対策」を実装することにより、企業とクライアントの利益を保護します。

各種機密データのセキュリティクリアランスを明確化することで、安全性とアクセス性が確保されるため、管理効率が向上します。

カテゴリ分けされたデータ管理が実施されていることで、訴訟や外部監査の際に、即座に対応できます。

⑨ビジネスリスク軽減

内部統制により「違法な手段による詐欺行為被害」や「誤った取り扱いによる金銭的損失」などのビジネスリスクを軽減できます。

これには、「銀行取引明細書の調整管理」や「在庫と資産を保護するための内部監査実施」などが含まれる場合があります。

一部の内部統制では、作業を開始する前に「ベンダー(クライアント)の承認」が必要になる場合があります。

⑩タイムリーな財務諸表作成

タイムリーな財務諸表は、経営陣が会社の将来について決定を下すために役立つだけでなく、利害関係者や企業自体の評判を保護します。

正確かつ定期的な財務諸表は、企業に対する信頼を築きます。

その透明性を証明しながら、大きな問題になる前に小さなエラーを特定して修正するためにも役立ちます。

⑪外部監査費用の低減

確立された内部統制は、「内部統制の実施方法」と「結果分析」などを提供することになるため、外部監査費用の低減につながる場合があります。

監査対象データを準備できているため、外部監査人は、トランザクションのテストチェック(サンプルチェック)を実施することで、帳簿のエントリの信頼性と正確性を確認できます。

膨大かつ詳細な確認作業を実施する必要がないため、外部監査人は所定の時間内に監査業務を完了し、財務諸表を作成できます。

情報技術分野における内部統制

内部統制は、ID管理が実施される基盤である情報技術分野においても、さまざまな角度から実施されるべきものとされています。

ID管理関連

特にID管理に関わる項目として以下のような項目があります。

「ID+パスワード」の共有禁止

ITシステムにおいては、各ユーザーには「独自ユーザーID+独自パスワード」を割り当て、「ID+パスワード」をユーザー間で共有しないことが求められます。

システムアクセスの自動停止プロセス

ユーザーがシステムにアクセスする必要がなくなる時間帯(就業時間後など)には、システムが自動でアクセスを拒否するポリシーなどを実行することで、悪意あるアクセスからシステムを防御できる可能性を高めることができ、セキュリティ向上につながります。

スタッフの「異動」「離職」チェックリスト管理

スタッフが「異動」や「離職」となった場合に実施するための「アクセスチェックリスト」を整備しておく必要があります。

「アクセスチェックリスト」を適切に実施することにより、システムへのユーザーアクセスを適正に管理できます。

ID管理ソリューションを利用すると、このようなタスクを統合的に管理できます。

IT関連一般

その他IT関連一般分野における内部統制項目として、以下のようなものがあります。

・ソフトウェアライセンス管理
・データのバックアップとリカバリー
・システムへのパッチ適用
・ネットワークセキュリティ管理
・Webアプリケーションのセキュリティ維持管理
・セキュリティソフトウェア管理
・変更管理
・セキュリティインシデントの報告義務
・災害復旧および事業継続 など

日本企業向けクラウドID管理サービス「Keyspider」とは?

Keyspiderオフィシャルサイトでは、Keyspiderに関する情報を紹介しています。

「日本企業向けである理由」「Keyspiderが必要である理由」「JSOX法対応」「業務自動化」などについて参照できます。


参考元サイト