ID管理・ログ管理・変更管理~IT統制どこから手をつけ、どこまでやるべきか?(前編)[08/07/23・29]

【日立ソフト主催 ワークショップセミナ 第3弾】
~ID管理・ログ管理・変更管理~
「ポスト文書化 IT統制どこから手をつけ、どこまでやるべきか?」 前編
テーマ ~ID管理・ログ管理・変更管理~
「ポスト文書化 IT統制どこから手をつけ、どこまでやるべきか?」
日 時 2008年7月23日 東京開催
2008年7月29日 大阪開催
参加者 内部統制、IT統制に取り組まれているエンドユーザー企業11社
主 催 日立ソフトウェアエンジニアリング株式会社
司会・進行
株式会社ナレッジサイン 吉岡英幸
 2005年7月、企業会計審議会内部統制部会から公開草案が発表されて以来、上場企業に困惑と混乱をもたらしてきた「内部統制」。2008年より、いよいよ実施期間に入った現在、多くの企業が、文書化フェーズを終え、予備監査で有効性評価を粛々と進めてきています。

しかし、内部統制プロジェクトに取組む中、本来の公正な業務処理のためのIT統制の整備よりも、法律対策としての項目整備に重点が置かれているのが実状です。そこで、日立ソフトでは内部統制の根幹をなす「IT全般統制」をテーマにワークショップを開催し、IT統制の本質を議論いたしました。東京、大阪2会場にて、11社のエンドユーザーにお集まりいただき、IT全般統制に対する各社の取り組みの実態を情報交換しております。その模様の一部をご紹介いたします。

◆監査法人によって異なる要求基準
 2008年からは内部統制への取り組みもいよいよ本番に入る。ワークショップに参加した企業のほとんどが、コンサルティングの指導のもと、評価の対象範囲を決め、評価項目を整備している。また、既に監査法人から予備監査を受けている企業が多い。

ここで、まずわかったことが、「監査法人によって要求基準が異なる」ということだ。ここで言う監査法人とは、監査法人会社のことと個々の監査人の両方を指す。

まず、IT全般統制でどこまでを評価対象範囲にするかであるが、監査時期等にもよるが監査法人によってさまざまである。しかも、監査人自身のぶれもある。ある企業では、監査法人によるコンサル指導に従い、IT全般統制に関して評価項目を作成し、現状の棚卸しを行ったところ、評価項目が次々と増えていったと言う。

そして、どこまで整備するかというレベルに至っては、監査法人により要求レベルの差が激しいように感じた。

ワークショップに参加したある企業では、営業上のすべての決裁行為に対して、紙の帳票を出力し、エビデンスを残すことを、コンサルティングする監査法人から求められたそうだが、そのようなケースもあるようだ。

同じ監査人でなければ、同一の監査法人がコンサルティングと監査を請け負うことは可能だが、コンサルティング担当と監査担当で要求基準がまったく異なることがあるという。

コンサルティングや監査人の要求するままにすべてを整備しようとすると、結果として、膨大な作業と業務の非効率化を招くことになる。

実際には、「不備がないという説明が成り立つか」が適正かどうかのポイントになるので、監査法人にすべての判断を委ねるのではなく、企業側が自ら統制のレベルを考え、整合性のある説明をできるようにしていかなければならない。

◆監査の観点では特権ユーザーIDの管理が重要
 IT全般統制では主にID管理、プログラム変更管理、ログ管理が軸となる。まず、ID管理についてであるが、(図1)はID管理における課題について、ワークショップ参加者からの回答をグラフにしたものだ。個別の課題が多いが、選択肢としてもっとも多いのが「パスワードの管理や定期的な変更など社員へのルール徹底」であった。

(図1)

パスワードの管理は、内部統制に関わらず、セキュリティの面からも必須の課題だ。だが、内部統制に際して議論になったのが、「パスワードの変更頻度がどれくらいであれば適性か」ということであった。監査法人によっては、「1ヶ月に1度のパスワード変更」を求める場合もあるが、これは現実的には難しいと言う意見が多かった。

無理にそれを実行しようとすると、パスワードが覚えられないためパスワード台帳のようなものが職場で作成され、かえってセキュリティ・リスクを高めてしまう。ちなみに、ワークショップ参加者の平均的なパスワード変更頻度は「半年に1回」であった。

次に問題になるのは、IDの棚卸である。どの企業も定期的にIDの棚卸を行っているが、必ず未使用IDの存在が判明する。人事データと連携していない場合、異動や退職者の情報更新が漏れてしまうこともある。IDの新設に関しては業務部門から必ず申請があるが、ミッションの変更などで権限がなくなった場合には必ずしも削除依頼がくるわけではない。IDの改廃に関しては人事データの連携と明確な業務ルールが必要となるようだ。

「IDの定期的な棚卸しを実施し、未使用者への照会に対して返答がない場合には削除している」というルールで運用しているケースや、「新しくIDを登録・廃止する際には、人事の管理者が承認した書類を情報システム部に提出し、情報システム部門の管理者が再度承認しなければならないと定めている」という風に人事部門を軸とした運用を徹底しているケースも紹介された。

監査の観点で、もっとも注意しないといけないのは特権IDの管理についてであると日立ソフトのコンサルタントは指摘する。監査法人も特権IDはデータを直接修正できるため、その管理については厳しくチェックする。特権IDの管理の不備は「重要な欠陥」と見なされる可能性があるのだ。監査法人が具体的に指摘する事項としては、
・管理統制ができる範囲まで、可能な限り数を絞り込む
・特権ユーザーのログを取得して内容をチェックする
ことだ。

(文責:株式会社ナレッジサイン 森天都平)

お気軽にお問い合わせください。TEL 03-3555-6901受付時間 9:30~18:30(土・日・祝日除く)

メールでお問い合わせはこちら

このエントリーを含むはてなブックマーク Buzzurlにブックマーク livedoorクリップ Yahoo!ブックマークに登録

このページの先頭へ