連載
» 2008年06月20日 09時27分 公開

Tips of SOX:J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする? (2/3)

[平安彦,ITmedia]

IT全般統制で求められている記録とは?

 企業においてJ-SOXの対象となるような勘定に絡むシステムは、もともと重要なシステムと企業で位置づけられていることが多く、それなりにきちんと見えるさまざまな制限がかけられていたと思います。

 例えばシステムのアプリケーションを使用する際には使用者に与えられた権限以外のメニューは使用できない、データを作成したり変更した使用者のIDや日時を記録するなどの措置が取られていることが多いでしょう。従来からこのようなシステム利用者に対しての統制は必要性が認識されており、比較的整備の進んでいる領域なのです。

 例えば「業務上権限のない人間が決裁の承認はできないか?」に対して「ログイン時に自身のIDとパスワードでログインを行い、自身に許可された業務メニューの中からのみ承認行為が実行可能である」というようなシステム的な手当てができていると答えられる企業は多いでしょう。しかし元々このような通常業務上の統制行為が問われるのは業務プロセス統制であったり、ITアプリケーション統制の分野で求められることであり、IT全般統制ではアプリケーションの内部で通常業務に関して行なわれる行為に対しての保証は求められません。通常求められるのは、アプリケーション上の行為ではなく、その下のレイヤーに位置するOSやデータベースに関しての行為なのです。アプリケーションにおいてはシステム利用者はアプリケーションの提供している定型的な行為を行なうのみであり、記録を取っても同じ作業の反復であることが分かるだけでしょう。

 IT全般統制で求められている記録は、IT部門やシステムの開発や保守を行なうベンダー各社が行なう、不定形な行為についてが対象なのです。「網羅的なログの記録」という言葉は完全性を保証しているようで一見魅力的ですが、そもそも全ての記録が求められているのではなく、リスクを識別した上で、対象となる業務の記録が求められているのです。一般的なシステムでは恐らくシステムのアクセス数全体を見れば、アプリケーションを通した定型的なアクセスが90%後半を占め、開発行為にあたるような不定形な行為は数%でしょう。また長く使われているシステムであれば0.01%を切るような頻度のシステムもあるでしょう。数が少ないから誤差と考えてよいわけではありません。しかしそもそも危険視されるべき行為を特定しないと、全てのアクセスを記録しなければならないという錯覚に陥り、多大な出費の覚悟しなくてはならなくなります。最悪の場合はその出費に驚き、「社としてログの記録は行なわず、マニュアル統制にて制御をする」との結論が導かれる可能性もあります。リスクの対象を明確にできないゆえに統制ができないという最悪の事態となるのです。

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆