2006年6月に国会で成立した金融商品取引法では、財務報告の適正性を確保するため、2008年4月以降に開始される事業年度から、上場企業およびその連結子会社に対し内部統制の構築が義務付けられています。
内部統制については、既に米国で2003年度からいわゆるSOX法が施行されていますが、監査人によって不備を指摘される項目の上位10には、アカウント管理およびアクセス管理に関わるものが多く含まれています。
<監査人による指摘が多かった10項目>
#1
|
Unidentified or unresolved segregation of duties issues
識別されていない、もしくは、解決されない権限の分離の問題
|
#2
|
Operating System (e.g. Unix) access controls supporting financial applications
or Portal not secure
財務システムが稼動するOS(UNIX等)のアクセス制御 |
#3
|
Database (e.g. Oracle) access controls supporting financial applications
(e.g. SAP, Oracle, Peoplesoft, JDE) not secure
財務システムに利用されるデータベースが保護ざれていない |
#4
|
Development staff can run business transactions in production
開発スタッフが本番環境の業務トランザクションを実行可能 |
#5
|
Large number of users with access to “super user” transactions in production
多数のユーザが本番環境の管理者ID(スーパーユーザ)を利用可能な状態 |
#6
|
Terminated employees or departed consultants still have access
退職者、過去の外注社員がシステムにアクセス可能 |
#7
|
Posting periods not restricted within GL application
財務アプリケーションにおけるデータ入力期間の制限 |
#8
|
Custom programs, tables & interfaces are not secured
カスタム開発プログラム、テーブル、インターフェース等が保護されていない |
#9
|
Procedures for manual processes do not exist or are not followed
手作業のプロセスの手続きが定義されていない、もしくは、定義に従っていない |
#10
|
System documentation does not match actual process
システム文書が実際のシステムと食い違っている |
出典:Ernst & Young - ISACA Conference on Sarbanes-Oxley, 4/6/04
訳:株式会社アシスト
(※)#1~6,#8はアカウント管理およびアクセス管理に関する項目
財務諸表の適正性、信頼性を確保し、それを証明するためには、財務アプリケーションや関連サーバ、DBなどへ『適切な権限をもったユーザのみが適切な処理を実行できる』仕組み(=アカウント管理およびアクセス管理)が不可欠です。
特にアカウント管理に関しては、
・業務上、過剰なアクセス権限が与えられていないか
・ユーザアカウントの作成、変更、削除がタイミングよく行われているか
・一度設定されたアクセス権限の定期的な確認は行われているか
というような観点で監査人の指摘を受けやすく、アカウント管理のプロセスをルール化し、それを確実に実行し、可視化することが求められています。
