- ホーム >
- ソフトウェア >
- 富士通のミドルウェア >
- 特集 >
- 段階的アプローチがIT全般統制の鍵! - 取り組みは段階的に -
富士通のミドルウェアが支援する「内部統制」4つのテーマ
[第1回]
段階的アプローチがIT全般統制の鍵!
- 取り組みは段階的に -
金融商品取引法(日本版SOX法)の施行にともない、上場企業には内部統制報告書の作成が義務付けられることになりました。その整備を合理的なコストで実施するには、統制項目の重要度に応じて整備を進める段階的アプローチを採用することが“鍵”となります。適切なITツールの導入は、内部統制の整備を加速するための重要なポイントとなります。
[キーワード] 内部統制、段階的アプローチ、IT全般統制、日本版SOX法、セキュリティ、アクセスコントロール、証跡、ID管理、ログ管理
[2008年11月10日掲載]
わが国においても金融商品取引法(日本版SOX法)が制定・施行され、すべての上場企業に対して、2008年4月以降に始まる事業年度(2009年3月決算期)から内部統制報告書の作成が義務付けられることになりました。
2008年度(多くの企業で2008年4月1日から)までに文書化、不備改善、整備/運用状況の評価を済ませ、初年度の本番運用を実施すべきところですが、実際には評価・改善への対応が遅れているのが現実です。そのため、一部では改善作業が2009年度にずれ込んでしまいそうな状況です。
IT全般統制 整備への取り組み
では、内部統制を整備するにあたって、どの項目から手を付ければよいのでしょうか。現在取り組み中の企業813社を対象に富士通総研が行ったアンケート調査では、規程の整備や内部統制三点セット(業務フロー図、業務記述書、リスクコントロールマトリックス)の作成に加え、職務分掌や権限・承認機能の見直し、アクセスコントロールの強化、証憑や証跡の取得と管理といったIT関連の課題にも、優先度の高いものが多数あることがわかりました(図1)。
【図1 : ITに関する優先度の高い課題 出典 : 内部統制を整備中の企業
813社を対象とした富士通総研調査データ】
実際に、富士通がこれまで支援したきたお客様の多くが、ITにかかわる不備指摘事項に対する改善を必要としている傾向にあります。改善にあたっては、その対応をより効率よく、より正確に実施できるようにするために、ITツールの適用を含めた情報システムの変更を検討していくことになるでしょう。
IT全般統制の主な評価項目には、表1のようなものがあります。この評価項目について、仕組みが有効でない、あるいは期待通りに運用されていない場合は、整備が必要となります。
| 人手による対応 | ITによる対応 | ||
|---|---|---|---|
| 【1】プログラム開発 / 変更 |
|
|
|
| 【2】コンピュータ運用 |
|
|
|
| 【3】アクセス管理 | ID管理 |
|
|
| パスワード管理 | - |
|
|
| ログ管理 |
|
|
|
| 物理 セキュリティ |
|
|
|
事前監査などを実施している企業でも、改善を必要とする不備が多数発見されています。具体的な数は企業の業務形態や統制活動の実施状況によって異なりますが(図2)、IT全般統制にかかわるものだけで100件を超す事例もあります。
【図2 : IT全般統制にかかわるものだけでも改善を必要とする指摘項目が100件を超えることもある】
改善の順番としては重要度の高いものから始めるのが一般的ですが、統制強化による業務の効率化やコストへの影響も考慮する必要があります。日本版SOX法への対応が企業価値向上へつながるようにするためにも、改善項目全体を把握し、中長期的な視野で取り組むことが必要です。短期的には、セキュリティ関連など影響範囲が狭く特定しやすく、かつ優先度の高いものから着手し、計画を立てながら複数年で最適化を目指す方法が現実的でしょう(図3)。
【図3 : 優先度の高いセキュリティ関連から着手し、中・長期的にシステム全体の最適化をめざす】
よくある不備改善対応のポイント
優先順位の高い不備指摘事項に対して、ポイントを紹介しましょう。
(1)セキュリティ管理
まず、一般利用者の統制のためには、ID管理が最優先課題となります。ID管理はアクセス管理など全てのセキュリティ対策のベースとなるためです。多くの企業では、IDの棚卸しができていないために、退職者のIDが削除されていなかったり、人事異動が反映されずに残っているケースが存在します。IDをできるだけ統合し、ITの仕組みで管理することが必要です。さらには人事マスターと連動させることで、棚卸しも不要となります。
次にシステム管理者の統制のためには、ログ管理が重要になります。管理者の作業内容をログとして残すことで、第三者による“正しさ”の確認ができるようになります。ただ、膨大な量のログを取得してもレビューできなければ意味がありません。システム管理上、あるいはセキュリティ運営上、最も重要なログに範囲を絞って取得することが、確実なレビューを行うためのポイントとなります。
さらに、システム管理者に与えるrootやAdministratorなどの最高権限のIDについては注意が必要です。ログの改ざんも可能となってしまうからです。統制の観点からは、システム管理者に一律に最高権限のIDを与えるのではなく、役割ごとにIDを分けることが望まれます。
(2)バックアップ管理・ジョブ管理
データの整合性を保証する上で、バックアップは欠くことのできない処理となります。ここでのポイントは、“運用の自動化”です。管理者のセンスやノウハウに頼って運用していると、どうしても漏れが発生します。
バックアップ管理に必要なのは、
- 間違いなく実施すること
- 実施したことを後から確認できること
になります。そのため、運用の自動化とその結果の記録ができるジョブ管理ツールが有効です。
(3)変更管理
システム構成が勝手に変更されることのリスクを回避するため、IT全般統制では、
- システムの変更管理のルールを決めて、責任者が承認すること
- 状況を管理・把握すること
が求められています。従来のように紙ベースで回す運用では、押印により承認を行うことはできますが、状況を常に把握していたり、後から確認したり証拠として提示することなどが非常に困難です。そのため、変更管理ツールが有効となります。
(4)資産管理
資産保全の観点から、保有しているハード・ソフト資産を把握していることが求められます。そのためには、まず、現状の保有資産を明確にして棚卸しを定期的に行うとともに、途中で資産の変更があった場合には情報の最新化がタイムリーに実施されることが必要です。このような資産情報の把握や変更情報の更新・管理を人手で行うにはたいへんな労力を必要とするため、IT資産管理ツールなどを活用して効率的に管理することをおすすめします。
内部統制強化支援ソリューション「Internal Eyes」の提供
富士通は、お客様の内部統制強化に貢献するために、ITを支えるハードウェア・ソフトウェアから、コンサルティング、教育・研修サービスまで、豊富なITソリューションを用意しています。「Internal Eyes」は、富士通の内部統制強化支援ソリューションの総称です。
これまで富士通が培ってきた様々なノウハウをもとに、内部統制の整備のために必要となる要件において、ITソリューションが支援できることを抽出しました。これを、80を超えるIT機能要件にブレークダウンし、社内基準として設けております。Internal Eyesは、この基準に照らして、各ITソリューションが、内部統制上のどのリスクに対するコントロールとして、どのように有効であるかを明確にしてお客様に提供するものです。統合運用管理ソフトウェア「Systemwalker」は、Internal Eyesにおいて、IT全般統制の重要な部分を担っています。
Internal Eyesは、富士通の内部統制強化支援ソリューションの総称です。
(注)Internal Eyesの名称のもとに当社が提供する製品・サービスは、お客様の内部統制強化を支援することを目的としますが、金融商品取引法等の内部統制に関する法令等(いわゆる日本版SOX法)についてのお客様の遵守を保証するものではありません。
今回は内部統制(その中でも特にIT全般統制)の概要についてご紹介しました。次回からはそれぞれのテーマについて、富士通のミドルウェアとの関連を含めて詳しく取り上げていきます。
富士通のミドルウェアが支援する「内部統制」4つのテーマ
第1回 段階的アプローチがIT全般統制の鍵! - 取り組みは段階的に -
[2008年11月10日掲載]第2回 ログ管理の工数を大幅に削減し、効果的なログレビューを実現
[2008年12月8日掲載]第3回 ジョブ実行やログ取得の自動化で、統制と効率化を一挙に実現
[2009年1月9日掲載]第4回 業務プロセスの標準化により、確実で効率のよいシステム変更管理を実現
[2009年2月9日掲載]第5回 システム構成の把握は、確実なIT資産管理から
[2009年3月9日掲載]
本特集記事に関するお問い合わせ・ご相談
お電話でのお問い合わせ
受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)
Webでのお問い合わせ
当社はセキュリティ保護の観点からSSL技術を使用しております。
