【システム監査】業務分掌とシステム上のアクセス権限の一致は「過大な権限」に着目して確認する。

監査人がシステム上のアクセス権限設定を確認する際、業務分掌との一致を確認します。
「過大な権限」は監査での指摘事項となりますが、「過小な権限」は指摘する必要はありません。
ある会社で、「社長」に会計システム上のあらゆる権限を付与している会社がありました。担当者によると、「社長は全ての権限があるから」とのことでした。確かに金額の大きな投資案件は取締役会や経営会議等で決裁するという考えからきているかもしれません。しかし、これはあくまでも会計仕訳の発生する取引ではないですよね。なので、この場合は社長に会計システム上の強い権限も必要ないですし、社長が直接会計システムからリストを出力することもないと思いますので、そもそも会計システム上のIDは不要と考えます。
また、別の会社では、情報システム部門管掌役員の入退室カードに「サーバルームへの入室権限」が付与されていました。聞くところによると、「サーバルームの視察があるから。」とのことでした。
サーバルームの視察にお一人で来られることは絶対にないとのことでしたので、私はアクセス権限を付与する必要はないと考えます(もし、サーバ故障時に役員が真っ先に駆け付けてくれるのなら必要ですが…)。
万一、当該役員が入退室カードの盗難又は紛失し、サーバルームに不正入室されることになった場合を考えますと、「万一紛失の際に、役員さんを守るために入退室権限を付与していません。」というアプローチもよいかもしれません。
これは考え方によるので、絶対にアクセス権限付与がダメだと言っているわけではありませんが、長期間アクセスが無いのなら、一旦アクセス権限を削除してもよいかもしれません。

この記事が気に入ったらサポートをしてみませんか?