@IT Special: 内部統制のためのアイデンティティ管理 導入や運用における落とし穴とは
内部統制の企業活動における重要性が認識されるに従って、アイデンティティ管理の仕組みを検討・導入する動きが活発化してきた。だが、アイデンティティ管理を導入しさえすればすべての問題が解決すると考えるのは間違いだ。内部統制という目的に立ち戻って検討しなければ、内部統制のための労力やコストの増大を防げない可能性がある。 いわゆる日本版SOX法の、実務上の指針である「財務報告に係る内部統制の評価及び監査に関する実施基準」では、ITシステムへのアクセス管理がIT統制の評価項目として明示されている。これを一つのきっかけとして、日本企業の間でアイデンティティ管理製品の検討や導入への動きが活発化している。適切なアクセス管理を関連システム全体にわたって確保するため、各種アプリケーションやシステムにまたがって統合的にアカウントとアクセス権限の管理・運用を実現できるアイデンティティ管理の意義がより広く認識されるよ
マニュアル統制の悪夢とBPMの利点を考える
システム連携による統制の自動化 マニュアル統制(連携なし)ではシステム間の統制活動が多くなる傾向がある。統制ポイントが増えると、それに伴うテスト項目も多くなるので、より多くのリソースを内部統制に割く必要が出てくる。そのため、統制の自動化(システム連携、システム統合)を目指す必要がある 一方、業務がシステム的に連携できている場合には、統制活動そのものはシステム内部に含まれることになる。システムは常に同じ条件下で同じ結果が期待できるという特徴を持っているため、予防的な統制が働くようになる。そのため、その評価に当たっても、マニュアル統制に比べて極めて省力化が期待できる。これを以下では、「統制の自動化」と定義する。 内部統制の自動化とは 前述のような、「業務のつなぎ目をどのように自動的に統制するか?」という議論は、大抵2つの解にたどり着く。 1つは、業務そのものを「作り直して」一本にまとめ上げる方
アクセス管理という言葉を誤解していませんか?
アクセス管理という言葉を誤解していませんか?:M&A時代のビジネスガバナンス(2)(1/2 ページ) 前回は企業のダイナミズムを支えつつ、有効なガバナンスを作る方法として、米国での失敗の経験と生かし方などを紹介した。今回は、ITガバナンスの中でも特に「アイデンティティ管理(ID管理)」について説明する。 ミスリーディングな「アクセス管理」 情報システムにおける職務分掌の徹底を実現するうえで、アクセス管理は必要不可欠である、という認識がここ数年の内部統制システム整備の要請を受けて、急速に広まっている。また情報セキュリティの分野でも、従来からアクセス管理の重要性が語られてきたことはご存じのとおりだ。 しかし、「アクセス管理」という表現は誤解を招きやすい。 この言葉からは「利用者の確認と提供するサービスの決定」、典型的にはユーザー認証・認可処理を連想するが、本当はそれだけではない。 アクセス管理
米国のSOX法対応で失敗した経験を生かすには
2007年5月から外資系企業による日本企業との三角合併が解禁となった。これにより、日本の経営者は、いままで以上に株主価値向上のためのM&Aの活用や、不祥事による価値失墜を防ぐためのガバナンスの徹底が必要になってくる。本連載では「M&Aに代表される企業活動のダイナミズムを支えつつ、いかに有効なガバナンスの仕組みを作るか?」に焦点を当て、これからのITに必要な要素を考える。 今年に入り、好調を維持する米国主要企業における「国外からの売上比率」が、初めて5割を超えた。すでに世界経済は“米国主導型”から、欧州・新興国の成長をエンジンに加えた“世界連動型”の拡大期へと転換を迎えているといえる。 加えて2007年5月からは、外資系企業による日本企業との三角合併が解禁となり、日本企業の経営者にとっては、世界規模での熾烈な競争環境の中で生き残るため、いままで以上に株主価値の維持・向上が至上命題となっている
サン・マイクロシステムズ
日本のオラクル・コミュニティが一堂に会するプレミア・イベントにぜひご参加ください。新しいスキルを身に付け、業界エキスパートと交流し、複雑なビジネス課題を解決するためのソリューションを発見しましょう。
実施基準が打ち出されたJ-SOX法 ── だが、どのように内部統制する?
昨年11月、いわゆる「日本版SOX法」で義務付けられる内部統制整備の実務的なガイドライン、実施基準案が金融庁から一般公開された。対応すべき範囲が売り上げの2/3をカバーすればよく、日本の産業界は、本家のサーベンス・オクスリー法に比べて範囲が絞り込まれたことを一様に歓迎している。 まるで黒船来襲のように右往左往していた多くの日本企業も落ち着きを見せているが、2008年4月1日以降の開始事業年度から上場企業は、内部統制が有効であると経営者が主張する、つまり、内部統制の有効性を経営者が自己評価する「内部統制報告書」を提出しなければならないことに変わりはない。公認会計士も、そうした経営者の評価結果が適正であるかを監査し、「内部統制監査報告書」を作成、保証を付与することが求められる。 「実施基準案は、何をどの程度やればよいかの指針となる。しかし、当然のことながら、どのように内部統制を実施していくかは
(17) 米サン・マイクロシステムズCOBITを採用し、過剰な統制を半減
SOX法への対応を進めた結果、統制(コントロール)が過剰になり、運用コストがかさんでしまう―米国のSOX法対象企業の多くが、こうした問題に直面している。その1社であるサン・マイクロシステムズは、ITガバナンスのフレームワークであるCOBITを利用して統制の状況を全面的に見直し、統制数を半減させた。 IT全般統制を整備した経験を多く持つメンバー、IT業務処理統制の経験を持つメンバー、社内全体のIDやアクセス管理を担当する専任者、関係部門との連携を図るプログラム・コーディネータ、そして米連邦政府などとの対応にたけ、ITと財務の知識を併せ持つ“スペシャル・プレイヤ”―。 米サン・マイクロシステムズはいま、この5人から成るPMO(プロジェクト・マネジメント・オフィス)が支援する形で、「SOX法(2002年サーベインズ・オクスリー法)対応後に生じる運用コストをいかに減らすか」に取り組んでいる最中だ。
サン・マイクロシステムズ
日本のオラクル・コミュニティが一堂に会するプレミア・イベントにぜひご参加ください。新しいスキルを身に付け、業界エキスパートと交流し、複雑なビジネス課題を解決するためのソリューションを発見しましょう。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blogs.sun.com/hanaki/entry/identity_manager_%E3%81%A7%E8%81%B7%E5%8B%99%E5%88%86%E6%8E%8C%E3%81%AE%E7%9B%A3%E8%A6%96
内部統制.jp SPECIAL:企業のガバナンスと競争力を強化する内部統制ソリューション
ITProSPECIAL : ERPにこそ求められるアイデンティティ管理
http://blogs.sun.com/shingoy/entry/%E5%86%85%E9%83%A8%E7%B5%B1%E5%88%B6%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E5%8D%81%E5%A4%A7%E9%81%95%E5%8F%8D