ニュース
» 2008年07月02日 09時02分 UPDATE

Tips of SOX:RCMは何種類作るのか?――手続きと実態の両面から考える (1/2)

RCM(Risk Control Matrix)の作成は、膨大なエネルギーを要する。各部署からの情報も少ない段階であっても、変更を予測しながら、作業を進めていき、業務の手続き上の問題とその実態の両方の側面から統一を図っていくのがベストだ。

[平安彦,ITmedia]

RCM作成のポイント

 SOXに従事する中でRCM(Risk Control Matrix)は中心的な文書であり、作成し維持するのに多大な労力を必要とします。特に初年度は文書化プロジェクトを別途編成する場合も多いと思いますが、このRCMの作成に工数の多くを割くことになります。SOX対応のかなり初期の段階でRCMをどのように作成しどのように維持するのかを検討することになりますが、正直その段階では情報も経験も少なく、正しい判断をすることは難しいでしょう。むしろ現在考えている構成は変更されうると割り切って進めるべきなのです。

 その中でもいくつかの検討すべきポイントを述べたいと思います。以下については検討、若しくは議論されているでしょうか?

  • RCMはシステムごとに作成するのか?
  • RCMは誰が維持するのか?実際のシステム担当者なのか、または文書化の事務局など第三者がヒアリングなどを元に作成し維持するのか?

 上記について考えるべきことを順に説明しましょう。

RCMはシステムごとに作成するのか?

 RCMをシステムごとに作成するかどうかという問いについては、基本的にはそのようにすべきだ、というのが正解でしょう。なぜならリスクに対するコントロールは、個別システムによって異なる対応をされている場合が多いからです。IT全般統制のリスクで問われているコントロールに大きく2つに分けることができます。手続きに関する問題と実態に関する問題です。

 手続きとは開発案件の扱いに関する手続きやプログラムリリースに関わる手続き、システムの利用者IDの管理に関する手続きなどがあります。これはシステムが違っていても基本的な考え方に大きな違いはないでしょう。ですから実際に文書化をしてみると同じである可能性もあります。しかしいったんはシステムごとに文書化することをお勧めします。

 実際には些細な問題に見える部分が異なる場合も多く、またこの些細に見える部分が本質的なリスクに対応できていないことも考えられるからです。次に実態に関してですが、これはそれぞれのシステムにおいてリスクへの対応がどのように実装されているかというシステム自体に関する問いです。これはシステムの開発された時代やシステムの表面的性格から異なる実装になっていることが普通だと思われます。その時々で最適と思われる解を追求することが通常でしょうから、最近になるほどさまざまなリスクに対するコントロールが実装されていることでしょう。

 古いシステムではそもそも個人を特定するようなIDという概念がないようなシステムもあります。そのようなさまざまなシステムが持つであろう実態に関して問われている場合には、システムごとに文書を作成することは必須となるのです。

 ではそもそものあるべき姿に立ち返って考えるとRCMはいくつ作るべきなのでしょうか。これに対する回答は、「理想的には1つである。」が正解でしょう。本来リスクに対するコントロールはシステムに関わらず同一であるべきです。しかし前述のように時代背景やシステムの使用目的やコストなどによって実態は枝分かれしているのが実情でしょう。

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆