ID管理・ログ管理・変更管理~IT統制どこから手をつけ、どこまでやるべきか?(後編)[08/07/23・29]

【日立ソフト主催 ワークショップセミナ 第3弾】
~ID管理・ログ管理・変更管理~
「ポスト文書化 IT統制どこから手をつけ、どこまでやるべきか?」 後編
テーマ ~ID管理・ログ管理・変更管理~
「ポスト文書化 IT統制どこから手をつけ、どこまでやるべきか?」
日 時 2008年7月23日 東京開催
2008年7月29日 大阪開催
参加者 内部統制、IT統制に取り組まれているエンドユーザー企業11社
主 催 日立ソフトウェアエンジニアリング株式会社
司会・進行
株式会社ナレッジサイン 吉岡英幸
 日立ソフトでは内部統制の根幹をなす「IT全般統制」をテーマにワークショップを開催し、IT統制の本質を議論いたしました。東京、大阪2会場にて、11社のエンドユーザーにお集まりいただき、IT全般統制に対する各社の取り組みの実態を情報交換しております。本レポートは前後編の後編です。
◆限られたリソースの中でどこまで職務分掌できるか
  次に、IT全般統制で企業を悩ませるのが、「職務分掌」である。プログラム変更管理において、「開発と運用を明確に職務分掌すべし」という点が、難題となる。

多くの企業でシステム部門の人員が限られており、業務部門にシステムの開発と運用に携わる人員が張り付いていることも多い。物理的に開発と運用を職制で分離することが難しいのが実状だ。それでは、開発と運用の職務分掌を明確にしないと、IT全般統制との面で不備、あるいは重要な欠陥になるのであろうか。

ワークショップに参加された企業の多くは、職制として開発と運用を完全に分離してはいない。監査法人もそこまでを厳密に求めてはいないようだ。日立ソフトのコンサルタントによると「一人の人間が正当な手続きなしに自由にプログラムを変更できない」という保証がなされていることが重要なのだと言う。

ワークショップに参加された中には、職務分掌ができない代わりに、必ず他部門の人間から1度チェックが入るような手続きを設定しているという企業もあった。

また別のある企業は「プログラム変更管理については、最終的にドキュメントに残すまでの一連の作業が書面に残っていれば、監査法人からは特に何も指摘されなかった」と述べる。

ログを適切に取得しておくなどして、プログラムに事実上不正な変更がないことを定期的に確認できる仕組みになっていれば、監査法人からも基準を満たしていると判断されるようだ。

◆発見的統制としてのログ管理
  内部統制をすべて予防的統制で実現しようとするのには限界がある。発見的統制と組み合わせることで、牽制と運用評価の体制を築いていくことが現実的であろう。

そこで重要になるのがログ管理である。ログ管理については、「ログの管理は内部統制に必要なのか」「どのようなログを取得するべきなのか」「取得したログを評価報告書にどのように盛り込むのか」「いつまでログを保存しておけば良いのだろうか」など、内部統制の観点でどこまで整備することが義務づけられているのか、不明な点が多い。

また、「監査法人に生のログを見せても理解できるのか」という意見もある。実際に、監査法人も「定期的にログをチェックするように」と指導はしているものの、ログのチェック方法や定期的なチェックの真偽まで問うことはないようだ。

ワークショップの中では、「ログ管理はなんらかの発見的統制に必要なものだけでいい」という意見が大勢であった。

しかし、内部統制の体制が常に変化しながら成熟していくものだとすれば、ログ管理などの発見的統制は、成熟のための継続的活動と位置づけられる。そのためには、「何かのときに備えて保存しておくだけのもの」と考えるのではなく、積極的にログ管理の手法を考え、常に内部統制の体制を見直す材料と考えるべきかもしれない。

◆内部統制をきっかけとしたITガバナンス強化
 以上、IT全般統制として、ID管理、プログラム変更管理、ログ管理に関する各社の取り組み、監査法人の評価について見てきた。

これらは、セキュリティや個人情報保護などの観点より、以前から既に課題となっていたものばかりだ。もちろん、金融商品取引法で内部統制監査証明が義務づけられたことで「監査上、どこまでの対応が求められているか」に、よりフォーカスして取り組んでいく必要はあるだろう。しかし、自社のゴールについて明確なイメージを持たないまま、監査法人個々の基準や判断に委ねて内部統制に取り組んでしまうことは、内部統制本来の趣旨に反するだけでなく、かえってその企業にとって不合理な統制となってしまうことにもなりかねない。

ワークショップに参加した企業の中には、内部統制を「自社のITシステムのあり方を理想の姿に近づけていくための1つのきっかけ」として捉え、そのような観点から評価項目の策定や文書化に取り組んでいる企業も多かった。IT部門として何がしたいのかを先に明確にし、その上で監査法人の力も借りながらプロジェクトを進めていくことで、ITによるガバナンスを強化し、自社に最適な内部統制を実現することができる。

(文責:株式会社ナレッジサイン 森天都平)

お気軽にお問い合わせください。TEL 03-3555-6901受付時間 9:30~18:30(土・日・祝日除く)

メールでお問い合わせはこちら

このエントリーを含むはてなブックマーク Buzzurlにブックマーク livedoorクリップ Yahoo!ブックマークに登録

このページの先頭へ