ID管理のリスクと課題「J-SOX」

ID管理は、企業における「内部統制」と大きく関わります。

今回は、その内部統制の1つの基準である「J-SOX」について紹介します。

「内部統制」とは

内部統制とは「企業防衛のために組織へのあらゆる損失を回避または最小限に抑えるための管理手法」を指します。

詳細はこちらのリンクページを参照ください。

→keyspider.jp →ID管理のリスクと課題「内部統制」

「J-SOX」とは

概要

J-SOXとは「内部統制報告制度」であり、「財務報告に係る内部統制に関する報告制度」を指します。

企業における内部統制とは「さまざまな業務が適正に実施され、組織が適切にコントロールされているかどうかをチェックすること」を指しますが、日本企業は内部統制のためにJ-SOXに対応することが必要とされています。

報告義務

日本の上場企業においては、例外なくJ-SOXへの対応が必要であり、事業年度ごとに「財務業務における内部統制評価結果」を国に報告する義務があります。

公認会計士もしくは監査法人による監査を受けた「内部統制報告書+有価証券報告書」を内閣総理大臣へ提出することが義務付けられています。

米国「SOX法」と日本版「J-SOX法」

J-SOX法は、米国のSOX法(企業改革法)をベースとしており、「日本(Japan)版SOX法」ということから「J-SOX法」と呼ばれています。

米国「SOX法」と同様に日本版「J-SOX法」も、「財務報告における内部統制」と「不正会計防止」を目的としています。

米国「SOX法」は運用における企業負担が膨大となることが課題となっていましたが、日本版「J-SOX法」では「経営者向けガイダンスサポート」や「ダイレクトレポーティング(企業監査人による内部統制テスト)」などにより、企業負担低減が図られています。

目的

J-SOXによる内部統制では、「財務報告書の信頼性確保」を中心として以下の4点が目的とされています。

1.業務の有効性と効率性
2.財務報告信頼性
3.関連法規遵守
4.資産保全

対象項目

J-SOXは以下の6項目を対象としています。

1.統制環境
2.リスクの評価と対応
3.統制活動
4.情報と伝達
5.モニタリング
6.ITへの対応

J-SOXにおける「ITへの対応」

J-SOXにおける「ITへの対応」は、金融庁が出している「財務報告に係る内部統制の評価及び監査に関する実施基準」の中の「ITの統制の構築」に関連しており、特にID管理と関わる項目となります。

「ITへの対応」として、以下の3項目が対象範囲とされています。

①IT全社的統制

「①IT全社的統制」とは「企業グループ全体としてのIT統制」を意味しています。

複数の会社を抱える企業グループの場合、本社や子会社のそれぞれのITシステムリスクを個別に評価するだけでなく、企業グループ全体としてのIT統制が必要です。

グループ全体で「ITシステム活用ポリシー」を設定し、本社や子会社の区別なく企業グループの末端まで、ITシステムガバナンスが適用される仕組みの構築が必要です。

②IT業務処理統制

「②IT業務処理統制」は、「企業業務管理システムにおいて承認された業務がすべて正確に処理(記録)されることを確保するために業務プロセスに組み込まれたITに関わる内部統制」を意味します。

「①IT全社的統制」をベースとし、「ERP」「販売管理」「会計管理」「在庫管理」「ワークフロー」などの個別システムについての方向性をまとめたもので、システムの具体的な「実装」「運用」「保守」に関する部分が対象となります。

③IT全般統制

「IT全般統制」は、「業務処理統制が有効に機能する環境を保証するための統制活動」を意味しています。

「複数の業務処理統制に関係する方針と手続」であり、「業務に必要な複数のシステムを連携させる場合のルール設定」や「内外アクセス管理などのシステム安全性確保」が中心となります。

対象項目例

・システムの「開発」「運用」「保守」における変更管理
・ID管理やセキュリティ対策によるアクセスと安全性の確保
・外部委託契約管理 など

まとめ

内部統制はコーポレートガバナンスの根幹であり、その内部統制をチェックするためのJ-SOX法は企業にとって非常に重要な制度です。

企業は「内部統制」「J-SOX」「コーポレートガバナンス」「セキュリティ保護」などの多くの要求に対応できるように、適切なID管理ソリューションを導入して、厳格なID管理の運用実施が求められます。

ID管理クラウドサービス「Keyspider」とは?

Keyspiderサイト「keyspider.jp」では、Keyspiderに関する情報を紹介しています。

「概要説明」「コンセプト」「他サービス連携」「主要機能」「マネージドサービス」などについて参照できますので、ご興味のある方はご確認ください。


参考元サイト