システムセキュリティ簡易診断サービス(ACTT) ブックマークが追加されました
サービス
システムセキュリティ簡易診断サービス(ACTT)
不正に関する事件は毎年発生しています。その要因の一つに企業内の統制環境があります。例えば、長年同じ業務を1人の担当者に任せている状況や、システムが複雑化・ブラックボックス化しているため、誰がどの機能にアクセス可能なのか把握できない場合は、不正の機会を与えている可能性があります。不正を未然に防ぐためには、内部牽制の状況やITセキュリティ環境を把握し、対策を講じることが経営者の喫緊の課題といえます。
システムセキュリティの診断領域
デロイト・デロイト トーマツ グループは、システム内のセキュリティの状態を簡易的に確認できるツール(ACTT:Automated Control Testing Tool)を開発しました。このツールを使うことにより、システムの脆弱性やユーザのアクセス状況を瞬時に把握することができます。
対象システムは、SAP、オラクルEBS、ピープルソフトのERPシステムをはじめ、WindowsやUnixのOS、オラクルデータベースにも対応できます。
ERPシステムのセキュリティは以下3領域から構成されており、ニーズ・状況に応じて必要な診断を利用できます。
SENSITIVE ACCESS(SA)
重要なトランザクションにアクセス可能なユーザとロールの診断
- 重要なトランザクションを特定し、アクセス可能なユーザとロールの一覧を提供します。
(診断項目例)
クライアント管理、直接プログラム実行、ユーザマスタ更新、会計期間のオープンクローズ、システムプロファイル更新、テーブル更新、会計伝票の更新、マスタ一括更新 など
SEGREGATION OF DUTIES(SOD)
SOD(職務分掌)違反のユーザとロールの診断
- SOD(職務分掌)から派生する不正等のリスクのあるユーザとロールの一覧を提供します。
(診断リスク例)
不正支払、架空取引先、架空発注、架空入庫、帳簿操作、不正取引、資産の不正取得 など
CONFIGURABLE CONTROLS(CC)
コンフィグレーションの診断(68項目)
- ERPシステムのコンフィグレーションを確認し、統制が十分機能しているかを診断します。
(診断項目例)
クライアント設定、ユーザのパスワード値、二重請求書入力チェック、購買伝票の入力項目制御、与信限度額設定、会計期間、MM勘定設定 など
ACTTを利用した改善例
ACTTの進め方(例)
貴社の状況をACTT診断レポートにまとめお渡しします
プロフェッショナル
