- グローバルナビゲーション
-
-
COMPANYによる「アクセスコントロール」
『COMPANY EC』シリーズでは、以下のような大手企業のお客様にて要求・想定される、強固かつ柔軟なセキュリティ設定の機能を標準機能としてご用意し、お客様単位のご運用に応じた情報セキュリティの管理が可能となっております。
こちらの3つのセキュリティレベルと、2つの付与方式とを組み合わせて、強固なセキュリティを実現いたしております。
ユーザーごとに、付与された権限を一覧で表示することが可能です。
3つのセキュリティレベル
- サブシステム単位
- ログインした際に、お使いになるユーザーの業務範囲に応じて、業務(=サブシステム)単位で、あらかじめ画面上に必要な業務機能のみを表示させます。
- 表示する項目単位
- 各業務機能内の閲覧・入力できる項目についても、表示する・しない/入力できる・できないという形で、表示切り分けを行うことが可能です。
- 使用する個人単位
- お使いになるユーザー権限(役職・所属など)に紐付けて、そのポストに認可されたサブシステム・項目のみを表示させることが可能です。
2つのセキュリティ付与方式
- 組織階層単位
セキュリティ - あるパスワードとIDに対して、セキュリティ権限を設定する方法です。ある部門の業務範囲(グルーピング)が決まっている場合に用いられる方法です。
- 職責単位
セキュリティ - ある個人の現在の所属・役職・職務権限・資格等、人事上の発令情報の属性によって、セキュリティを割り振る方法です。
COMPANYによる「内部統制」対応
標準機能で搭載する『COMPANY』ログブラウザー機能は、作業状況を管理するため、 ログインユーザー毎の操作ログ・DB変更ログを収集し、「追跡的統制」を実現いたします。
ログの参照は、適切な権限を持つ方のみが行なえるようにセキュリティをかけることが出来ます。
ログの排出方法につきましては、指定フォルダにCSVファイルにて排出する方法の他、『COMPANY』内のログ確認機能にてご確認いただける方法がございます。
ログの排出方法につきましては、指定フォルダにCSVファイルにて排出する方法の他、『COMPANY』内のログ確認機能にてご確認いただける方法がございます。
2008年4月~「金融商品取引法」(J-SOX法)成立により、上場会社経営者は「財務報告に係る内部統制の有効性に関する評価及び報告」が義務化
- 「財務報告に係る内部統制の評価及び監査に関する実施基準」においても、内部統制の基本的要素の一つとして「ITの業務処理統制への対応」が求められている
は、お客様ごとに「独自の機能追加」や「独自のプログラム変更」を加えていないノーカスタマイズ型パッケージソフトウェアであるため、内部統制上のリスクを最小限に抑制した運用を実現
- 【参考】経済産業省「システム管理基準 追補版」(第Ⅲ章図表Ⅲ4)において、パッケージソフトウェアを利用する場合のリスク評価の例として以下のように例示されております。
- 【図表Ⅲ.4 パッケージソフトウェアを利用する場合のリスク評価の例】
- 購入したパッケージソフトウェアにプログラム変更を行っていない場合、当該パッケージソフトウェアについては自社で不正なプログラム開発が行われているリスク等を回避していると評価できる。
- バージョンアップ等のプログラムの変更は、パッケージソフトウェアを開発した外部の専門業者によって行われるため、不正にプログラム変更をするリスクは限定される。
- IT業務処理統制の機能を具備している場合には、業務の一貫性の確保、照合手続の自動化、例外事項報告書作成の自動化、職務分掌に従ったアクセス権限付与等が可能となるので、リスクが限定される。
