Title/ タイトル(24pt)

なぜアクセス管理が重要なのか?
職務分掌がIT統制の鍵
米国事例から、セキュリティ/ユーザアクセスはIT統制における最重要課題であるこ
とが伺えます。
米SOX法財務報告に係る内部統制の有効性評価に関して、重大な不備となった分野
80%
情報システムにフォーカスすると・・・
70%
60%
18%
50%
データ保護
40%
ユーザアクセス
セキュリティ
30%
41%
20%
20%
10%
変更管理
0%
21%
インフラストラクチャ
内部統制の不備
IT統制の不備
【出典】 Emerging Trends in Internal Controls
U.S.-Listed
© SAP
2008 / Page 2 Foreign Private Issuers Second Survey and Section 404 Reference (Ernst & Young)
ユーザアクセス/セキュリティ分野における10大統制欠陥
ユーザアクセス/セキュリティ分野において、米国では10大統制欠陥として下
記のような報告があります。
ロール、ユーザーにリスクのある権
限の組み合わせが存在
1. 不完全な職務分掌
2. 会計システムのOSに関するアクセスコントロール不備
3. 会計システムのデータベースに関するアクセスコントロール不備
4. 開発要員が本番環境で本番処理を実施できる
5. 多くのユーザが「特権ユーザ」処理を実施できる
6. 退職職員・コンサルタントによるシステムへのアクセスが可能
7. 財務アプリケーションへのデータ入力期間に制限なし
SAP_ALL等職務職責以上の権限を持つ
8. カスタムプログラムやテーブル、インタフェースがセキュアでない
ユーザーに対する統制が不十分
9. 人手による業務手順が明確に存在していない、守られていない
10. システム文書が実際のプロセスに合格していない
【出典】Ernst & Young ISACA Sarbanes Conference
© SAP 2008 / Page 3
※青字・・・業務アプリケーションの特権ユーザに関する事項
© SAP 2008 / Page 4
ERPのメカニズムとIT全般統制の留意点
例:外貨評価
業務プロセ
ス
アクセス管理
販売プロセ
ス
受注
出荷
請求
債権の 売上債権 値引・
回収
管理 返品処理
財務報告プ
総勘定
元帳
連結
購買プロセ
ス 仕入先の
資源調達
計画
選定
発注
検収
仕入債務の
支払い
計上・管理
経営管理
資料
生産・資産管理プ
ロセス
生産計画
在庫
・管理
ロセス
原価計算
管理
固定資産 固定資産・
減価償却
・検収 維持管理
業務
レポート
決算
修正
MD&A
等のその
他開示
財務諸表
書類
とその他
開示資料
の作成
人事
研究開発
会計仕訳
法務 等
プログラムアクセス権限(評価を実行
できる人)を定義
変更
履歴
変更
履歴
変更
履歴
プログラムロジック
パラメータ
パラメータ
外貨評価プログラム
プログラムの動き(評価
方法)を定義
仕訳パターン
FORM user_command.
CASE sy-ucomm.
WHEN fun1.
perform handle_fun1.
ELSE.
...
© SAP 2008 / Page 5
自動仕訳
変更
履歴
権限・セキュリティ
その他プロセ
財務活動
ス
(投資・資金
調達等)
変更管理
財務
諸表
低価法
時価法
原価法
変更
履歴
変更
履歴
マスター
勘定科目
Xxxxxx 為替差益
Xxxxxx 為替差損
勘定科目、取引
先等を定義
なぜ職務分掌が重要なのか?
【事例】業務手続に不正の温床
経理局と外部監査法人のスタッフが現場に行き、1部門15時間をかけてヒアリング。金銭の流れを中心に業務
の流れを文書化し、不正リスクを洗い出していった。比較的リスクの高い13部門を対象に実施。
不正で受信料拒否・
保留は2005年9月まで
に97万件
作
家
・
出
演
料
等
発注書
放送局Z社は2004年7月、芸能番組の制作費の名目で
受注
5000万円近く不正に支出したとし、職員を懲戒免職処分に
した。
台本・構成等
番
組
制
作
局
発注書
代理請求の権限を悪用。
部下の名前で発注し自己
承認。
台本・構成等
発注書
発注書
発注書依頼票
発注書依頼票
不正支出をした元職員は発注の決定権を持っていた。
発注依頼票・発注書
の作成
(デスク)
証査・決定
(CP)
発注
(デスク)
外部の制作会社に放送作家としての仕事を委託したように
5
6
8
見せかけていたが、制作会社は仕事をしておらず、元職員
統制目的
リスク
統制のポイント 現状の内部統制 改善への取組 運用評価プラン
は制作会社からキックバックを受け取って搾取していた。
5
必要性を欠いた放送作
家の起用を防止する
起用が現場任せで
必要性を欠いている
かもしれない
(出所)日経情報ストラテジー Jan.2006 加筆修正
© SAP 2008 / Page 7
第三者によって必要
性を検討する
担当者以外が必要
性を判断することが
できない
各部局長による事前
審査を行い、委嘱業
務等審査委員会に
おいて厳正な審査を
して決定する
支払いを任意に抽出
し、事前審査が行わ
れていることを確か
める
不正防止の仕組みが不可欠
「公認会計士法等の一部を改正する法律」(2007年6月27日)において金融商品取引法の改正が行われ、
法令違反事実発見への対応を監査人に求める
監査人の地位の強化と、会社に不正・違法行為の防止を求める
監査人が財務諸表監査を実施する際に、重大な影響を及ぼす不正・違反行為を発見した場合であって、
監査役等に通知するなど、会社の自主的な是正措置を促す手続きを踏んだ上でもなお適切な措置がと
られないと認めるときは、監査人に当局へ申し出ることを求める
日本公認会計士協会 監査基準委員会報告書第35号(2006年6月24日)
経営者による確認書に以下の記載し、社長・CFOの署名を求めている。
①不正を防止・発見する内部統制を構築し維持する責任は経営者にあることを承知している旨
②不正による財務諸表の重大な虚偽の表示の可能性に対する経営者の評価を監査人に示した旨
③経営者等が関与する企業に影響を与える不正または不正の疑いがある事項に関する情報が存在する場
合、当該情報を監査人に示した旨
④従業員等から入手した財務諸表に影響する不正の申し立て等に関する情報を監査人に示した旨
明確な根拠を持って署名(または記名捺印)するためには、不正防止の
仕組みを構築し、運用しなければならない
© SAP 2008 / Page 8
不正の発生状況
(米国公認不正調査官協会の統計)
5-10%の収益が不正によって失われている
ほとんどの不正が内部統制の不整備または機能低下から発生
不正は発生したもののうちわずか10%しか発見されていない
不正発見のきっかけ: 内部監査18%、外部監査 4%、偶然・告発78%
不正の対策はその摘発でなく、兆候を認識した上での早期発見
と予防である。
© SAP 2008 / Page 9
不正の発生要因と予防策
~不正のトライアングル~
ITが活用できる領域
不正を働く機会
内部統制の不備
(職務分掌、
承認権限があいまい等)
不正を働く動機
利益目標達成を過度に強調、
個人の経済理由、
企業への不満等
誠実性の欠如
© SAP 2008 / Page 10
不正を働く機会/内部統制の不備(職務分掌)
~1人の担当者が以下の権限を持っていたら~
■返品伝票処理と支払処理の権限を持っていたら、、、、
架空の返品伝票を登録して不正支払い
■受注伝票処理と価格(値引き)処理の権限を持ってい
たら、、、
不正に価格を下げて出荷してキックバック
■受注処理と出荷処理両方の権限を持っていたら、、、、
架空の受注を登録して不正出荷
© SAP 2008 / Page 11
不正・誤謬リスクの最小化と職務分掌
~実施基準における職務分掌(分離)の重要性~
統制活動
経営者においては、不正又は誤謬等の行為が発生するリスクを減らすために、各担当者の権限及び職責を明
確にし、各担当者が権限及び職責の範囲において適切に業務を遂行していく体制を整備していくことが重要と
なる。
その際、職務を複数の者の間で適切に分担又は分離させることが重要である。
例えば、取引の承認、取引の記録、資産の管理に関する職責をそれぞれ別の者に担当させることにより、それ
ぞれの担当者間で適切に相互牽制を働かせることが考えられる。
適切に職務を分掌させることは、業務を特定の者に一身専属的に属させることにより、
組織としての継続的な対応が困難となる等の問題点を克服することができる。
また、権限及び職責の分担や職務分掌を明確に定めることは、
内部統制を可視化させ、不正又は誤謬等の発生をより困難にさせる効果を持ち得る
ものと考えられる。
『財務報告に係る内部統制の評価及び監査に関する実施基準』より
赤字強調弊社
© SAP 2008 / Page 12
監査法人目線で見た職務分掌
~職務分掌は内部統制の信頼性を高める前提~
■リスクと統制目標⇒職務分掌のシステム的な実装
「職務分掌」は内部統制の信頼性を高める前提ですが、システム的に制
限されていないと、結局はその職務分掌が守られないリスクがあります。
このリスクを軽減するために、財務報告上重要なデータへの書き込み
権限を「職務分掌」に照らして適切に配分する、という「自動化された
統制活動」が効いた状態を継続させることが、この全般統制プロセスの
統制目標です。
(出所)IT内部統制の実務
© SAP 2008 / Page 13
新日本監査法人監査技術部
(中央経済者)
テスト対象とする個別権限の絞込みと残すべき証跡
(時点統制テスト)
■テスト対象とすべき個別権限
「財務務報告目的」に照らして重要な個別権限に絞り込む。アクセス権管理は職
務分掌を弱体化させるような「個別権限の組み合わせ」を付与された、過大権限
のユーザーがシステム的に存在しないようにすることが役割(統制目標)。そこ
でテスト対象もそのような「組み合わせ」に含まれる個別権限に絞り込むことが
合理的。
■残すべき証跡
テスト証跡としては、下記のように議論と検討のために何を行い、どのように結
論したのかが、分かる文書を残す必要があります。
・権限マトリクス等の資料
・「同時付与されるべきでいない組み合わせ」を有するユーザーID、ロール
を明示・抜粋した資料
・上記の内容についの議論・討論のメモ
(出所)IT内部統制の実務
© SAP 2008 / Page 14
新日本監査法人監査技術部
(中央経済者)