内部統制で有用なログの活用術
2009/2/10
IT全般統制の例として:
変更管理における「ログを活用した内部統制」
一方、ITシステムにおける変更管理(Change Management)は、通常、要求仕様についての変更要求について影響を正しく把握し、計画を立て、変更作業を実施し、結果を確認する、という一連の作業を管理し、ソフトウェアの信頼性・整合性を確保することをいいます。
その変更管理において「ログを活用することにより適切なモニタリングを行うこと」は、重要なIT全般統制の例といえましょう。
それにより、以下の効果を得ることができます。
- そのシステムを作る担当者に大きな過失がないことを保証すること
- デザインがユーザー部署の意図にかなっていることを確認できること
- 当事者以外の部門がモニタリングを行うことができること
3番目のポイントは発見的コントロールですが、当事者以外の部門がモニタリングしていることで、不正などのリスクに対する抑止的効果があります。
変更管理とそのモニタリングのプロセスとしては、
- リスクを特定する
- 「何のためのコントロールであるか」を定義する
- Change management systemやMaster data monitoringをデザインする
- システムにそれらを組み込む
- そして、内部監査部門など第三者部門がモニタリングする
この前提としては、職務分掌があることです。
変更管理については、近年ITILそのほかで定義がされていますが、ここでは「ログを追うことで重要な統制活動となる」ことを繰り返しておきます。
■付加価値増大へのヒントと費用対効果
- - PR -
内部統制におけるログの活用については、IT部門側だけでなく、監査部門側で付加価値を付けて、会社なりの使い方をする工夫が大切です。
費用対効果の観点からは、「重大なリスクのみをカバーするようにすること」がキーになります。すなわち、アプリケーションが重くなり過ぎないようにする必要があります。
例えば、ベンダマスタ、カスタマーマスタ、プライスマスタには必要ですが、細かいマテリアルマスタには不要でしょう。社員マスタはなかなか監査部門で触れることができないかもしれません。職務的権限については、「相互で利益相反する権限が、1人の人に付与されていないか」もログでモニタリングできます。
◇
ログの取得と管理は、発見的統制などの社内的な活動を通じて、財務報告業務のみならず、あらゆる業務における不正や不完全な処理を、発見・防止することができます。
ITシステムの業務プロセスにおいては、さまざまな内部統制の仕組みが組み込まれつつあります。そして、さらにログを活用した内部統制を整備することにより、IT部門の業務の信頼性向上にも寄与し、監査部門では抑止作用を通じて効果的な不正防止機能を発揮することが期待されています。
 |
「日本版SOX法&コンプライアンス」コーナーTOPへ |
慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。
2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、aiリスクコンサルテーション代表、内部統制コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。神戸商工会議所登録エキスパート。危機管理システム研究学会会員、大阪J-SOX研究会幹事。
著書:『図解日本版SOX法』(同友館、共著)
近著:『日本版SOX法実践コーチ』(同友館、共著)
連絡先:
Webサイト:http://spinel3.myftp.org/hideo/ai-risk.htm
内部統制は大きく分けて、「大和銀行事件の判例」に端を発し、会社法が規定する「業務の適正を確保するための体制」と、金融商品取引法の「財務報告の信頼性を担保するために行われるチェック機能の評価(日本版SOX法)」の2種類がある。COSOでは、内部統制の目的に「業務の有効性と効率性」「法規などへのコンプライアンス」「財務報告の信頼性」の3つを挙げている。
一方のログは、大別すると「OSに対するもの」と「アプリケーションに対するもの」がある。取得の目的別では、「主にトラブル時に問題が起こった経緯を追跡するためのもの」と「セキュリティやデータの完全性を担保するため」に取るものがある。
しかし、「やみくもにたくさんのログを取ればよい」というわけではない。ログをすべて取るとシステムが重くなってしまうので、バランス感覚が必要だ。ITに関するリスクでは、「不正なアクセスやデータの改ざん」といったものが考えられるが、これらのリスクは、ログを取りそれを有効に管理することで予防または発見することができる。
| Page1 そもそも、内部統制とは? ではログとは何だろうか? |
|
| Page2 ITにかかわる内部統制が担保すべきリスク ログに対する管理運営 |
|
 |
Page3 IT全般統制の例として:変更管理における「ログを活用した内部統制」 |
SOX法コンサルタントの憂い バックナンバー 連載インデックスへ»
- 第1回 内部統制の抜け穴はふさげるのか?
- 第2回 複数の共謀者による不正をどう防ぐか?
- 第3回 立法者の意思を無視して暴走する規制当局
- 第4回 日本版SOX法プロジェクトの進め方教えます
- 第5回 続・日本版SOX法プロジェクトの進め方教えます
- 第6回 終章・日本版SOX法プロジェクトの進め方教えます
- 第7回 “守り”の内部統制から“攻め”の内部統制へ
- 第8回 3点セットの後に何をすればよいのかが分からない
- 第9回 「内部統制報告制度に関する11の誤解」の注意点
- 第10回 “発見的コントロール”で楽になろう!
- 第11回 追加された「内部統制Q&A」の注意点
- 第12回 日本版SOX法の“欠陥・不備”の直し方教えます
- 第13回 内部統制で有用なログの活用術
- 第14回 いまさら追加された「内部統制Q&A」のポイント
- 最終回 内部統制が有効でないのはこんな理由だった
ホワイトペーパー(TechTargetジャパン)
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
イベントカレンダー
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
TechTargetジャパン
求人情報
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「ITmedia」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。