会計士が語る──実際の監査ではIT統制のココを見る!監査は「何とかなる」ほど甘くない

IT統制の中でも、システムやアプリケーションにおけるアクセス管理は骨子となる。そのときに問題となるのが、すべてのデータにアクセスできる特権ユーザーの存在だ。監査人の目線から、アクセス管理の重要性と特権ユーザーの管理の要点などを解説する。

2007年09月18日 00時00分 公開
[提供:日本CA株式会社]

 金融商品取引法施行に伴い、財務報告にかかる内部統制の経営者評価および監査の制度が2008年4月1日開始事業年度より適用となる。制度の開始により、IT統制の整備は特に上場企業グループにとって急務となった。多くの企業が、すでにポリシーの策定やシステムの整備を行っている。しかし、対策が十分と断言できる企業はまだ多くない。

 監査の目線で見たとき不安に感じるのは、アクセス管理が不十分な企業が多いことだ。とりわけ気になるのが、システム内のすべてのデータにアクセスできる「root」や「Administrator」といった特権ユーザーを安易に割り当てている現実である。全データへアクセスできる権限の存在は、システム障害の回復などには便利である。しかし実際は、すべてのデータへのアクセスは必要ないはずだ。

 では、どのような対策をすればよいのか? 内部統制で重要となる「職務分掌」と「記録の保全」という観点からアクセス管理の重要性と、アクセス管理に際して重要となる特権ユーザー管理について説明する。自分の会社は監査に対応できるレベルであるか、判断の参考にしてもらいたい。