HOME ソリューション 製品情報 イベント ニュース ケーススタディ 企業情報 パートナー
spacer.gif spacer.gif spacer.gif
【タイトル】ソリューション
spacer.gif
spacer.gif spacer.gif spacer.gif spacer.gif spacer.gif
spacer.gif spacer.gif

日本版SOX法・内部統制

資料ダウンロード

米国SOX法と日本版SOX法

米国SOX法(Sarbanes Oxley Act:以下SOX法)はアメリカで発生したエンロンやワールドコムにおける不正/粉飾決算事件を発端に、このような事件の再発防止のため、2002年に米国議会で成立しました。SOX法ではまず企業の財務報告の内容に偽りや誤りが無いことを経営者自身が責任を持つことが求められています。このため、財務報告に関連した業務の中で不正や間違いが発生するリスクをコントロールするための内部統制の仕組みを構築することが必要になります。

日本においても同様に企業に対する内部統制の構築を義務づける法律が2009年3月期の決算からの適用に向けて準備が進んでいます。

具体的には2005年12月に企業会計審議会の内部統制部会によって取りまとめられた『財務諸表に係る内部統制の評価及び監査の基準のあり方について』の資料に、米国で広く採用されている内部統制のフレームワーク(COSOフレームワーク*)に『ITへの対応』という要素が加えられた日本版の内部統制フレームワークが記載されており、米国以上にITに関する部分の重要性が高まって来ると言えます。
(*COSO: the Committee of Sponsoring Organization of the Treadway Commission)

IPLocksの必要性

日本版SOX法で求められることは「企業の財務報告の信頼性の保証」です。財務報告の内容に虚偽が無いことを保証するためには不正・過失により財務データが改ざんされることを防止する必要あります。

IPLocksは財務データの不正・過失による改ざんを防ぎます
◇財務関連データにアクセスできるユーザーの操作を監視
◇データベース運用管理者・開発者の操作はログにより監査

    金融商品取引法では
内部統制に向けたIT統制の不備があれば 決算報告書の信頼性が大きく損なわれる可能性が生じる


財務報告(有価証券報告書)の記載に虚偽が見つかれば 経営者個人に対して10年以下の懲役、または1000万円以下の罰金企業に対しては7億円以下の罰金刑
投資家が損害を被った場合は株主代表訴訟の可能性も

 

日本版SOX法対応のためになぜIPLocksが必要とされるのか?


詳しくは【資料ダウンロード】ホワイトペーパー:『IPLocks サーベンス・オクスレー法対応を支援』へ
資料ダウンロード 
 

日本版SOX法対応を支援するデータベース・セキュリティ

財務報告につながる企業の取引に関する情報は全てデータベースの中に収められているため、データベースシステムの運用に関する内部統制の仕組みを整え、データベースに対する誤操作や不正なデータ改ざんなどのリスクをコントロールすることはSOX法対応の中でも重要な要素の1つとなります。



・社内外の境界におけるセキュリティ対策
社外からの攻撃や情報の社外漏えいを防ぎますが、社内漏えいや改ざんを防ぐことはできません

・情報の大もと(社内)におけるセキュリティ対策
データの漏えい・改ざんなど全ての不審な行為を、その場で検知・記録できます

 

進め方とIPLocksの位置付け


※図中の年月は日本語版SOX法を想定
 

システム運用リスク統制のためのIPLocks活用例

権限が1人に集中して不正が発生しやすい環境を回避するために各業務を明確に分離します。
「ユーザ」「IT内部監査人」「システム運用者」それぞれが、システム変更要求、システム変更指示書、IPLocksが提供するデータベース監査ログを活用する業務フローに従い、必ず作業者以外の人が確認・承認を行うプロセスを構築します。

 

ケーススタディ 十六銀行

【 背 景 】

  • 企業の重要情報を保護するためにデータベースのセキュリティ強化が必要
  • 新システム構築にあたりシステム運用をアウトソーシングする

【 要求事項 】

  • システムの堅牢性と拡張性を同時に満たす必要
  • データベースの監視がアプリケーションの正常稼動に不安を与えない
  • アウトソーシング先の作業者がシステム管理作業の際に、申請通りの処理を行っている事を管理者が確認できること

【 効 果 】

  • アプリケーションシステムとは独立してデータベースを監視するためアプリケーションに新しいモジュールが追加されても監視を行うことができる
  • アウトソーシング先の作業者の作業内容が事前申請と合っているか監査ログを見て確認できる。
  • 作業者に対する不正の抑止効果も発揮している

赤字の部分がアウトソース先のIT運用作業の監査

全ての事例を読む 資料ダウンロード