J-SOX法?

投稿者	投稿内容
加納正和ぬし会議室デビュー日: 2004/01/28 投稿数: 332 お住まい・勤務地: 首都圏	投稿日時: 2007-06-04 23:36 「SOX法対応では、システムの職務分掌作業が大変」 >システム改修や再構築に向けた準備を進めているところです。とのことですが。。。その「システムの職務分掌作業」を「しなければいけない」法的根拠は何なのでしょうか。まず「不要である」ことを強調する必要があるのでは。なぜなら、ぶっちゃけシステムでは(しかも文書化からでは)無理だからです。どーしてもしなければいけないところは必要でしょうが、ほとんどの場合「システムにわたる職務分掌作業」は無意味だと思います。 >情報システムを活用することで内部統制対応の効率化を実現することができるとしています。とかは、単に例でしょう。確かに、いままでは「実施基準」というのは、ほとんど法的な効力を持つものでしたが、、、そもそも「実施基準」を書いたやつはソフトウェア技術者にひと言さえ聞いていないのでは。いままでは「実施基準」を書いていた役人は、当然その実施基準について知り抜いている(だから天下りがなくならない)が、こと「作文」である実施基準と「ものづくり」のシステム開発では、難しさが違って当然です。 >そのためにはまず個々のシステムがアクセス管理とログ管理の機能を持っている必要があります。それはありえません。無理があります。「システム」にアクセス制御機構が必須というのが無理ですし。 >作業に不備や抜けがあれば、これはIT統制の欠陥として、重大なリスクとなるからです専門家なのであれば、んなことは言わないで、ちゃんと「IT統制」と「それ以外」の線引きをしてあげるべきでは? >これがIT担当者にとって予想以上に困難な作業となります IT担当者に取っては予想以上なのでしょうが、専門家からすれば、困難に決まってます。どう予想しても困難です。 >複数システムをまたがる業務プロセスで、通常どれくらいの不備（コンフリクト）を生じているのかご存じでしょうか。んな「あほ」なことを言っていないで「無理だ」と啓蒙した方がいいのでは。文書化しただけでは、システム化できるはずもありません。特にログ出力なんか無理100%です。実際には無理があります。実質上、「運用」で回避している例しか、見たことがありません。要するに端末を触らせない、という「運用」がいいところです。 #で不良が出たときに流出したら結局無意味なのだが。細かいところはともかく、「J-SOX法対応」にシステムへのアクセス制限、ログ管理が「必要だ」というのはミスリーディングだと思います。はっきり言って「全く不要」です。ちゃんと線引きすればOK。別にすべてのシステムにそんな管理を組み込む必要はありません。もちろん、ITを含めたシステムを効率化したいというのなら別ですが。その場合は、そもそも悩まないでしょう。アクセス制限程度で悩んでいるということはそのレベルは不可能です。 >米国の事例ですが、こうしたツールを導入している企業の方のお話では組織変更、異動、昇進などがあるたびに、ツールを使って徹底的にチェックをしているそうです。それは、文書化からいきなりそうなったわけではないでしょう。もちろん、そこまでITに投資したいのなら止めませんが。ぢっさいは無理かと思われます。絶対に無理とは言いません。でも、少なくとも予想できるぐらいにはIT統制とやらは、困難だと思って欲しいものです。。。
BackDoor ぬし会議室デビュー日: 2006/02/20 投稿数: 831	投稿日時: 2007-06-05 16:18 最初何について書かれているのか不明でした。せめて参照元記事URLを指定するか、URLリンクをつけて欲しかったです。 SOX法対応では、システムの職務分掌作業が大変 #　加納さんらしいけど・・・　なぜか新規投稿になってたので修正。 #　私も人の事言えないし。orz
柴田　たけお常連さん会議室デビュー日: 2007/09/19 投稿数: 40 お住まい・勤務地: 米国カリフォルニア州オレンジカウンティー	投稿日時: 2007-09-22 12:53 SOX法ができた経緯はご存知と思いますがエンロン事件がきっかけです。会計不正操作から一般株主を守るためです。もちろんあたりまえですが生産性が向上するわけでもなくコストがかかります。だから資金に余裕のある会社や、銀行からの信頼があり低金利で融資が受けられる会社は株式公開せず、私有企業としてやっている中小企業も多いみたいですよ。（ときどき株式公開する予定もまったくない企業のIT部で　　SOX法にはどう対応すればいいのですか？なんて質問受けますが・・・　　SOXという3文字はひとりあるきしてるようで）ちなみに会社での被害金額の 90% が会社組織上位　10% の人間で出されているそうです（コンサルによると）マーケティングの８，２の法則とそれに基づいた戦略ではないですが（売り上げの80%が上位20%の顧客によってうみだされているので　　その上位20%を集中攻撃かけるという教え） SOXももっともっと簡素化して職務権限の上位10%に集中的にFOCUSしたほうがいいような気もしますね・・・私見を投稿して申し訳ありません。

投稿者	投稿内容
加納正和ぬし会議室デビュー日: 2004/01/28 投稿数: 332 お住まい・勤務地: 首都圏	投稿日時: 2007-06-04 23:36 「SOX法対応では、システムの職務分掌作業が大変」 >システム改修や再構築に向けた準備を進めているところです。とのことですが。。。その「システムの職務分掌作業」を「しなければいけない」法的根拠は何なのでしょうか。まず「不要である」ことを強調する必要があるのでは。なぜなら、ぶっちゃけシステムでは(しかも文書化からでは)無理だからです。どーしてもしなければいけないところは必要でしょうが、ほとんどの場合「システムにわたる職務分掌作業」は無意味だと思います。 >情報システムを活用することで内部統制対応の効率化を実現することができるとしています。とかは、単に例でしょう。確かに、いままでは「実施基準」というのは、ほとんど法的な効力を持つものでしたが、、、そもそも「実施基準」を書いたやつはソフトウェア技術者にひと言さえ聞いていないのでは。いままでは「実施基準」を書いていた役人は、当然その実施基準について知り抜いている(だから天下りがなくならない)が、こと「作文」である実施基準と「ものづくり」のシステム開発では、難しさが違って当然です。 >そのためにはまず個々のシステムがアクセス管理とログ管理の機能を持っている必要があります。それはありえません。無理があります。「システム」にアクセス制御機構が必須というのが無理ですし。 >作業に不備や抜けがあれば、これはIT統制の欠陥として、重大なリスクとなるからです専門家なのであれば、んなことは言わないで、ちゃんと「IT統制」と「それ以外」の線引きをしてあげるべきでは? >これがIT担当者にとって予想以上に困難な作業となります IT担当者に取っては予想以上なのでしょうが、専門家からすれば、困難に決まってます。どう予想しても困難です。 >複数システムをまたがる業務プロセスで、通常どれくらいの不備（コンフリクト）を生じているのかご存じでしょうか。んな「あほ」なことを言っていないで「無理だ」と啓蒙した方がいいのでは。文書化しただけでは、システム化できるはずもありません。特にログ出力なんか無理100%です。実際には無理があります。実質上、「運用」で回避している例しか、見たことがありません。要するに端末を触らせない、という「運用」がいいところです。 #で不良が出たときに流出したら結局無意味なのだが。細かいところはともかく、「J-SOX法対応」にシステムへのアクセス制限、ログ管理が「必要だ」というのはミスリーディングだと思います。はっきり言って「全く不要」です。ちゃんと線引きすればOK。別にすべてのシステムにそんな管理を組み込む必要はありません。もちろん、ITを含めたシステムを効率化したいというのなら別ですが。その場合は、そもそも悩まないでしょう。アクセス制限程度で悩んでいるということはそのレベルは不可能です。 >米国の事例ですが、こうしたツールを導入している企業の方のお話では組織変更、異動、昇進などがあるたびに、ツールを使って徹底的にチェックをしているそうです。それは、文書化からいきなりそうなったわけではないでしょう。もちろん、そこまでITに投資したいのなら止めませんが。ぢっさいは無理かと思われます。絶対に無理とは言いません。でも、少なくとも予想できるぐらいにはIT統制とやらは、困難だと思って欲しいものです。。。
BackDoor ぬし会議室デビュー日: 2006/02/20 投稿数: 831	投稿日時: 2007-06-05 16:18 最初何について書かれているのか不明でした。せめて参照元記事URLを指定するか、URLリンクをつけて欲しかったです。 SOX法対応では、システムの職務分掌作業が大変 #　加納さんらしいけど・・・　なぜか新規投稿になってたので修正。 #　私も人の事言えないし。orz
柴田　たけお常連さん会議室デビュー日: 2007/09/19 投稿数: 40 お住まい・勤務地: 米国カリフォルニア州オレンジカウンティー	投稿日時: 2007-09-22 12:53 SOX法ができた経緯はご存知と思いますがエンロン事件がきっかけです。会計不正操作から一般株主を守るためです。もちろんあたりまえですが生産性が向上するわけでもなくコストがかかります。だから資金に余裕のある会社や、銀行からの信頼があり低金利で融資が受けられる会社は株式公開せず、私有企業としてやっている中小企業も多いみたいですよ。（ときどき株式公開する予定もまったくない企業のIT部で　　SOX法にはどう対応すればいいのですか？なんて質問受けますが・・・　　SOXという3文字はひとりあるきしてるようで）ちなみに会社での被害金額の 90% が会社組織上位　10% の人間で出されているそうです（コンサルによると）マーケティングの８，２の法則とそれに基づいた戦略ではないですが（売り上げの80%が上位20%の顧客によってうみだされているので　　その上位20%を集中攻撃かけるという教え） SOXももっともっと簡素化して職務権限の上位10%に集中的にFOCUSしたほうがいいような気もしますね・・・私見を投稿して申し訳ありません。

J-SOX法?

スキルアップ／キャリアアップ（JOB@IT）