サービス

システムセキュリティ簡易診断サービス(ACTT)

不正に関する事件は毎年発生しています。その要因の一つに企業内の統制環境があります。例えば、長年同じ業務を1人の担当者に任せている状況や、システムが複雑化・ブラックボックス化しているため、誰がどの機能にアクセス可能なのか把握できない場合は、不正の機会を与えている可能性があります。不正を未然に防ぐためには、内部牽制の状況やITセキュリティ環境を把握し、対策を講じることが経営者の喫緊の課題といえます。

システムセキュリティの診断領域

デロイト・デロイト トーマツ グループは、システム内のセキュリティの状態を簡易的に確認できるツール(ACTT:Automated Control Testing Tool)を開発しました。このツールを使うことにより、システムの脆弱性やユーザのアクセス状況を瞬時に把握することができます。

対象システムは、SAP、オラクルEBS、ピープルソフトのERPシステムをはじめ、WindowsやUnixのOS、オラクルデータベースにも対応できます。

ERPシステムのセキュリティは以下3領域から構成されており、ニーズ・状況に応じて必要な診断を利用できます。

SENSITIVE ACCESS(SA)
重要なトランザクションにアクセス可能なユーザとロールの診断
  • 重要なトランザクションを特定し、アクセス可能なユーザとロールの一覧を提供します。
    (診断項目例)
    クライアント管理、直接プログラム実行、ユーザマスタ更新、会計期間のオープンクローズ、システムプロファイル更新、テーブル更新、会計伝票の更新、マスタ一括更新 など
SEGREGATION OF DUTIES(SOD)
SOD(職務分掌)違反のユーザとロールの診断
  • SOD(職務分掌)から派生する不正等のリスクのあるユーザとロールの一覧を提供します。
    (診断リスク例)
    不正支払、架空取引先、架空発注、架空入庫、帳簿操作、不正取引、資産の不正取得 など

CONFIGURABLE CONTROLS(CC)
コンフィグレーションの診断(68項目)

  • ERPシステムのコンフィグレーションを確認し、統制が十分機能しているかを診断します。
    (診断項目例)
    クライアント設定、ユーザのパスワード値、二重請求書入力チェック、購買伝票の入力項目制御、与信限度額設定、会計期間、MM勘定設定 など

ACTTを利用した改善例

ACTTの進め方(例)

貴社の状況をACTT診断レポートにまとめお渡しします

プロフェッショナル

松井 靖己/Matsui Seiki

松井 靖己/Matsui Seiki

デロイト トーマツ リスクサービス パートナー

監査法人系コンサルティング会社にてシステム導入業務を経て2001年監査法人トーマツに入社。 IT全般統制監査、米国サーベンスオクスリー法、内部統制報告制度対応支援に従事。現在は業務・内部統制の改善、IT統制設計、セキュリティ構築、データ品質管理等のコンサルティングサービスを提供。... さらに見る