@IT情報マネジメント会議室は、2009年4月15日に新システムに移行しました。
新たに書き込みを行う場合には、新しい会議室をご利用ください。
新たに書き込みを行う場合には、新しい会議室をご利用ください。
- @IT情報マネジメント 会議室 Indexリンク
- IT戦略
- 仕事の改善
- アーキテクチャ
- プロジェクト管理
- ITインフラ
- Webマーケティング
- BPMプロフェッショナル
- 業務アプリ
- - PR -
J-SOX法?
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2007-06-04 23:36
「SOX法対応では、システムの職務分掌作業が大変」
>システム改修や再構築に向けた準備を進めているところです。 とのことですが。。。 その「システムの職務分掌作業」を「しなければいけない」法的根拠は 何なのでしょうか。まず「不要である」ことを強調する必要があるのでは。 なぜなら、ぶっちゃけシステムでは(しかも文書化からでは)無理だからです。 どーしてもしなければいけないところは必要でしょうが、ほとんどの場合 「システムにわたる職務分掌作業」は無意味だと思います。 >情報システムを活用することで内部統制対応の効率化を実現することができるとしています。 とかは、単に例でしょう。 確かに、いままでは「実施基準」というのは、ほとんど法的な効力を 持つものでしたが、、、そもそも「実施基準」を書いたやつはソフトウェア技術者に ひと言さえ聞いていないのでは。 いままでは「実施基準」を書いていた役人は、当然その実施基準について 知り抜いている(だから天下りがなくならない)が、こと「作文」である実施基準と 「ものづくり」のシステム開発では、難しさが違って当然です。 >そのためにはまず個々のシステムがアクセス管理とログ管理の機能を持っている必要があります。 それはありえません。無理があります。「システム」にアクセス制御機構が必須というのが無理ですし。 >作業に不備や抜けがあれば、これはIT統制の欠陥として、重大なリスクとなるからです 専門家なのであれば、んなことは言わないで、ちゃんと「IT統制」と「それ以外」の線引きをしてあげるべきでは? >これがIT担当者にとって予想以上に困難な作業となります IT担当者に取っては予想以上なのでしょうが、専門家からすれば、困難に決まってます。 どう予想しても困難です。 >複数システムをまたがる業務プロセスで、通常どれくらいの不備(コンフリクト)を生じているのかご存じでしょうか。 んな「あほ」なことを言っていないで「無理だ」と啓蒙した方がいいのでは。 文書化しただけでは、システム化できるはずもありません。 特にログ出力なんか無理100%です。実際には無理があります。 実質上、「運用」で回避している例しか、見たことがありません。 要するに端末を触らせない、という「運用」がいいところです。 #で不良が出たときに流出したら結局無意味なのだが。 細かいところはともかく、「J-SOX法対応」にシステムへのアクセス制限、 ログ管理が「必要だ」というのはミスリーディングだと思います。 はっきり言って「全く不要」です。ちゃんと線引きすればOK。別にすべてのシステムに そんな管理を組み込む必要はありません。 もちろん、ITを含めたシステムを効率化したいというのなら別ですが。 その場合は、そもそも悩まないでしょう。アクセス制限程度で悩んでいるということは そのレベルは不可能です。 >米国の事例ですが、こうしたツールを導入している企業の方のお話では組織変更、異動、昇進などがあるたびに、ツールを使って徹底的にチェックをしているそうです。 それは、文書化からいきなりそうなったわけではないでしょう。 もちろん、そこまでITに投資したいのなら止めませんが。 ぢっさいは無理かと思われます。絶対に無理とは言いません。 でも、少なくとも予想できるぐらいにはIT統制とやらは、困難だと思って欲しいものです。。。 |
|
投稿日時: 2007-06-05 16:18
最初何について書かれているのか不明でした。
せめて参照元記事URLを指定するか、URLリンクをつけて欲しかったです。 SOX法対応では、システムの職務分掌作業が大変 # 加納さんらしいけど・・・ なぜか新規投稿になってたので修正。 # 私も人の事言えないし。orz |
|
投稿日時: 2007-09-22 12:53
SOX法ができた経緯はご存知と思いますがエンロン事件がきっかけです。
会計不正操作から一般株主を守るためです。 もちろんあたりまえですが生産性が向上するわけでもなく コストがかかります。 だから資金に余裕のある会社や、銀行からの信頼があり 低金利で融資が受けられる会社は株式公開せず、私有企業として やっている中小企業も多いみたいですよ。 (ときどき株式公開する予定もまったくない企業のIT部で SOX法にはどう対応すればいいのですか?なんて質問受けますが・・・ SOXという3文字はひとりあるきしてるようで) ちなみに会社での被害金額の 90% が 会社組織上位 10% の人間で出されているそうです(コンサルによると) マーケティングの8,2の法則とそれに基づいた戦略ではないですが (売り上げの80%が上位20%の顧客によってうみだされているので その上位20%を集中攻撃かけるという教え) SOXももっともっと簡素化して 職務権限の上位10%に集中的にFOCUSしたほうがいいような気もしますね・・・ 私見を投稿して申し訳ありません。 |
1