2年目以降のJ-SOX(IT全般統制)

コラムカテゴリー:

 今年も顧客情報流出事件が目立った一年でした。某証券会社では145万人の
顧客情報が、外資系保険会社では1万8千人のカード情報が、そして陸上自衛隊
ではほぼ全陸上自衛官の個人情報が持ち出されました。このような情報漏えい
事件は、各企業・組織によってITの全般統制が正しく機能していなかった現わ
れといえます。

 先日発表された日本監査役協会の調査結果によれば、J-SOX適応初年度にお
ける重要にならなかった「不備」でもっとも多かったのはIT統制関連で約36%
とのことでした。回答企業はIT統制における不備の例として,「ウイルス対策
ソフトの装備について,一部の会社所有パソコンがチェック対象から漏れてい
た」「インタフェース・アプリケーションのアクセス制限がなされていない」
などを挙げていました。

J-SOX元年であった昨年度は、監査法人の言われるままに対応をして振り回
された企業が多く見受けられました。監査法人担当者からIT全般統制について
「重要な欠陥」や「意見不表明」を匂わされた結果、多くの企業ではなんとか
報告書提出ができるようにと、言われるがままにアクセスログの管理業務やロ
グインIDの整理、パスワードの定期的な変更などに追われたことと思います。

それでは、次年度以降の内部統制ではどのようにしたらよいのでしょうか。
最近は内部統制に対応した多くのソフトウエアツールが販売されていますので
それらのツールを利用するのもIT全般統制の負荷を軽減する一つの策といえま
す。複数のIDをまとめて管理するシングルサインオン(SSO)のエミュレーショ
ンソフトなどは、「パソコン本体に紙の付箋でパスワードを貼り付ける」など
の情報漏えいリスクを減らし、統制を強固なものとするでしょう。
しかしソフトウエアツールの導入を検討する前に、まず前年度のIT全般統制
の見直しを行うことをお勧めします。なぜなら、無我夢中で対応した初年度を
ベースとして2年目以降のIT全般統制に対応しようとすると、無理が生じてく
るからです。
実際、ある会社の情報システム部の方からは「IT全般統制に対応するために
アクセスログのチェックを始めたら、運用メンバーの残業が急激に増加した」、
「せっかくインシデント管理のペーパーレス化を進めていたのに、紙に責任者
印を押すよう監査法人に言われた。時代に逆行しているのではないか」などと
相談を受けることもありました。

ご存知のように内部統制報告書提出は毎年行うものですから業務に負荷のか
かる運用があれば、長く続けることが難しくなります。負荷が大きくなると作
成したフローチャートなどに則した運用ができなくなり、評価結果が「不備」
となってしまいます。まずは、昨年度作成したフローチャートや業務記述を見
直し、現実の運用に沿ったものにすることをお勧めします。

内部統制では、会社にあるシステムすべてが対象となるわけではなく、財務
諸表に影響を与えるシステムのみが対象となります。そこで、まずは対象とな
るシステムを洗い出します。そして監査法人が主にチェックするID・パスワー
ド管理やバックアップなどのポイントがカバーできているかを見直してくださ
い。
見直しの結果、業務負荷になる統制が見つかった場合は、重要度を鑑みて内
部統制の項目から外すのも対策の一つです。そうすることで内部統制が原因で
業務のスピードが遅くなることも避けられるはずです。監査人の言われるまま
紙に承認印を押さなくても、既存のワークフローシステムを利用したり、電子
スタンプを利用するといった方法もあるのではないでしょうか。場合によって
はメールを証跡とすることもできるでしょう。一般に「業務処理統制の土台と
なるシステムの統制は厳格でなければならない」と考えられていますが、業務
量や費用面などを総合的に判断して、あえてシステム統制を厳格にしないとい
う選択肢もあります。

来年の報告書作成に向けて大詰めを迎えられている企業様もいらっしゃると
思いますが、少し手を停めて、昨年度の資料を再確認してみるのは如何でしょ
う。この見直しが今後の効率化へと繋がっていくはずです。
業務処理統制についてはこちらも参考にしてみてください。

関連サービス

2009年10月01日 (木)

青山システムコンサルティング株式会社

田中純