連載
» 2008年06月20日 09時27分 公開

Tips of SOX:J-SOX対応は「主張の場」と心得よ――ログ保管ではどうする? (3/3)

[平安彦,ITmedia]
前のページへ 1|2|3       

作業IDの切り分けで対象範囲を絞り込む

 ではアプリケーションを通さないアクセスについては全て記録を取り、事後の精査を行うべきなのか? 現場の方にとっては残念なことだがイエスです。不定形な業務のアクセスについて、作業内容に問題や誤りがないかについてチェックすることは、チェックの精度の差があるとしても行うべきなのです。ただしここにも工夫の余地があります。SOXおよびJ-SOXではサンプルを抽出してチェックを行なうことも統制として主張することが可能です。SOXでは、と述べましたが、これはSOXに関わらない通常の業務でも同じでしょう。不正をチェックするために全ての取引をチェックしなければならないのであれば、そもそも定期的な事後のチェックではなく、取引毎の業務として設計されるべきなのです。

 ですから、事後に、問題ないことをチェックする業務においては、SOXに限らずサンプルから判断する方法が通常取られているはずです。ここで、本当に不定形な業務と、アプリケーションを通さないがある程度定型的な業務を峻別することが可能であれば、更に精査する範囲、さらには記録する範囲についても限定することが可能になるでしょう。

 例えば広く使われている手法としては、作業IDの切り分けが考えられます。開発者が本番環境にアクセスする際には、プログラムをリリースする以外にもさまざまな目的が考えられます。例えば日常的な運用行為であったり、問合せに対応するためだけの確認行為です。これらの業務を開発者のIDで行なうのであれば、どのような行為を行なったのかをログから精査し、実際に確認業務であったことを精査する必要が生じます。しかし、作業の目的とその行為だけに必要な権限にIDを限定しておけば、この精査は必要ないと主張することも可能になるかも知れません。システムの状況確認用のIDには参照権限のみを与え、変更が一切できないのであれば、システムに対して不正や誤った行為を行なう可能性はそもそも生じません。(顧客情報の持出しを防ぐなどJ-SOX以外の目的も絡めて解決されたいとの要望がある場合には当然この限りではありません。)また特定の危険ではない行為に限定したIDであった場合にも、同じような主張が可能でしょう。このように「網羅的なログの管理が必要である」という大きなテーマであっても、求められている統制を十分に吟味し理解することで、必要のない統制の導入を防ぐことが可能になります。ITに関して言えば、必ずしも「大が小を兼ねる」ことはないということを理解すべきなのです。

どのような統制を今後描くか

 最後にぜひ補足させて欲しいことですが、文中で「主張」という表現を使用していることに違和感を感じられる方も多いかと思います。しかしこの表現をあえて使用させていただいています。なぜなら、SOXおよびJ-SOXにおける統制とは、求められることに対して、こちらが十分に検討し対応できていることを、プロセスオーナーや監査法人に主張し、理解してもらう取り組みなのです。内容的にも、表面的にも十分であることが理想ですが、実態はそうではなく、あらゆる統制の新設や改善は実際の費用や稼働とのかね合いになります。前述させていただいたとおり、J-SOXを担当される方々にとっての重要な役割は、統制を形式的にも実質的にも充実させることなのです。しかし全てを同時に直ちにできるわけではないことから、現在の統制の有効性を主張するとともに、どのような姿を今後描くかが重要視されます。SOXおよびJ-SOXとは文書化の終了で終わる行為ではなく、改善を目指す絶え間ない取組みだと理解することが重要なのです。

プロフィール

たいら・やすひこ 大手コンサルティング会社、ITベンダー勤務を経て、独立。米国および日本企業のSOX対応プロジェクトに参画。現在、ITコンサルティング会社「ビジネスアクセル」代表。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

ITmedia エグゼクティブのご案内

「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆