セクション: 巻D
説明/参照:

適切な影響レベルを確立するための資産階層化モデルを導入するには、定量的なリスク評価手法が最適です。このアプローチはリスクレベルを数値化するため、資産を正確に階層化するために不可欠です。
定量的リスク評価：
数値：定量的な手法では、リスクの発生確率と影響度に数値を割り当てることで、リスクレベルを正確に計算できます。この精度は、影響度に基づいて資産の階層を設定する際に不可欠です。
データに基づく意思決定: これらの方法では、統計データとモデルを使用して潜在的な損失とさまざまなリスクイベントの発生確率を予測し、より情報に基づいた意思決定を可能にします。
資産階層化モデル:
影響評価：定量的な手法を用いることで、詳細な影響評価が可能になります。数値を用いることで、様々な資産の潜在的な影響を比較し、適切な階層に分類することが容易になります。
リソース配分：正確なリスク計算は、リソースの効率的な配分に役立ちます。上位レベルの資産（影響度の高い資産）には、より多くのリソースを割り当てて保護することができます。
参考文献:
CRISC レビューマニュアルによれば、定量的リスク評価方法は、リスクを明確な数値で表現するため、正確な影響評価と詳細な分析を必要とする状況に適しています。

不正取引とは、情報やデータを欺いたり、操作したり、虚偽の表現をしたりして、不正または不当な利益や優位性を得ることを指します1。不正取引は、組織に金銭的損害、法的責任、評判の失墜、業務の中断など、重大なリスクと損失をもたらす可能性があります2。
エンタープライズ リソース プランニング (ERP) システムは、会計、財務、人事、サプライ チェーン、在庫、顧客関係管理など、組織の中核ビジネス プロセスと機能をサポートする統合ソフトウェア アプリケーションです3。ERP システムは、ビジネス トランザクションの効率、正確性、セキュリティを向上させますが、次のような不正なトランザクションに対して脆弱になる可能性もあります。
偽の仕入先や顧客を作成し、虚偽の請求書や支払いを処理すること、財務または会計データや報告書を操作または改ざんすること、重要または機密性の高い情報や記録を変更または削除すること、アクセス権限や認証情報を悪用または不正使用すること、システム管理やセキュリティ対策を回避または侵害すること4 ERPシステム内で不正な取引を防止するための手順の設計は、統制環境に基づいて行う必要があります。統制環境とは、組織全体にわたる内部統制を実施するための基盤となる一連の標準、プロセス、および構造です。統制環境は以下の要素で構成されます。
トップの姿勢。これは、内部統制と倫理的行為に対するリーダーシップの取り組みと姿勢を反映します。 組織構造。これは、内部統制の役割と責任、報告ライン、および権限レベルを定義します。 人事ポリシーと実践。これは、スタッフが内部統制に対して適切なスキル、能力、インセンティブを持つことを保証します。 リスク評価プロセス。これは、組織の目標と取引に対する潜在的なリスクと脅威を特定して評価します。 統制活動。これは、取引におけるエラーや不正を防止、検出、または修正するための特定のポリシー、手順、メカニズムです。 情報通信システム。これは、内部統制と意思決定のために信頼性が高くタイムリーなデータと情報を提供します。 監視および評価活動。これは、内部統制のパフォーマンスと有効性を測定および報告し、継続的な改善を保証します。 ERP システム内での不正な取引を防止する手順の設計を統制環境に基づいて行うことで、組織は次のことが可能になります。
内部統制と不正防止に関する組織の目的、価値観、期待に手順が合致していることを確認する 取引と ERP システムに関与するスタッフと利害関係者に明確で一貫性のあるガイダンスと指示を提供する 取引と ERP システムのリスクと脆弱性を軽減するために適切かつ適切な管理と安全策を実装する 手順と ERP システムのコンプライアンスと有効性を監視および評価し、問題やギャップを特定して対処する 参照資料 = 不正とは何か?、不正リスク管理 - AICPA、ERP とは何か?、ERP 不正: 防止方法 - ERP Focus、[COSO - 統制環境 - Deloitte]、[COSO を使用して IT 統制を評価する方法 - Journal of Accountancy]

CRISCレビューマニュアル1によると、ユーザーアクセス要求の承認とは、ユーザーの役割、責任、ビジネスニーズに基づいてITリソースへのアクセスを許可または拒否するプロセスです。ユーザーアクセス要求の承認は、組織内で保持すべき重要な管理責任です。これは、最小権限の原則が適用され、アクセス権が組織のポリシー、標準、リスク許容度に準拠していることを保証するのに役立つためです。また、ユーザーアクセス要求の承認は、不正アクセス、データ漏洩、詐欺、およびユーザーアクセスのプロビジョニングと終了に関連するその他の潜在的なリスクの防止にも役立ちます。したがって、サードパーティベンダーがユーザーアクセスのプロビジョニングと終了を実行することを提案する場合、組織内で保持すべき最善の管理責任は、ユーザーアクセス要求の承認です。
参考文献 = CRISC レビューマニュアル1、240 ページ。