業務システムについては、個別アカウントでかつアクセス権を適切に管理することを要求されますが、OSのセキュリティについてはさほどうるさくいわれないでしょう。（当たった監査人の良し悪しにもよりますが...）

不特定多数が使用するアカウントがいけないのではなくて、不特定多数で高権限のアカウントを使いまわすのがよろしくないわけです。

それに、個別化すればよいというわけではなくて、「ログを監視していますか？」と聞かれます。

結論として
・業務システム（POSレジ/EOS？）は個別アカウントでがっちり管理
　→ここは多少文句が出ても押し通す
・Windowsのログオンアカウントは共有しても良いこととする
・但し、権限設定はUserグループとしてAdministrator、PowerUserなどは与えない

というところではないでしょうか？

販売員が扱う業務で、ログインからやらせる必要はないと思います。
ただしデータ入力するときに担当者のコードを入れさせる（存在チェック必要）とか、表示させるときでも、例えば原価を表示するにはパスワードを入れさせるとかの対策はやったほうがいいでしょう。
そのあたりになると監査員の考え方にもよると思いますが、自社では「こういう管理をしています」と主張してみて双方納得のいくように相談しましょう。

（というのは程度の低い監査員も中には居るのです。会計の事には詳しくてもコンピュータの事を知らない人がＩＴ統制担当になっていてとんでもない事を言い出す場合もあります。　人材不足で仕方のない事だとは思いますが．．．）　なんでも監査員の"言うなり"になる必要はありません。

金融庁もあまりにカチンカチンの運用はいけないと思い始めたのか「内部統制報告制度に関する11の誤解」等の公表についてというのが出ています。

こんにちは。

色々な方が有意義な意見を述べられているので、発言しづらいですがコメントさせて頂きます。

bunnymenさんが言われる通り操作するスタッフが変わる度にログインし直していては、お客さんに迷惑がかかると言うのは、ごもっともな言い分です。
もし、スタッフの方向けにセキュリティーカードのような証明書（社員証）などが発行されているのでしたらPOSなどをカードをかざす事でユーザーＩＤ・アクセス権限を認識させるような形を取られては（費用がダイブンかかるかな〜）

私のところも一昔前は入力者を識別すると言う事はしていませんでしたが、現在ではユーザーＩＤ・アクセス権限を一元管理して、各ソフトウェア毎にその情報を適応させると言う事を行っています。
おかげでソフトウェアを開発している私は、大忙しです！

全然参考にはなっていませんが、さらっと読み流して下さい。