IT部門も大混乱？ 日本版SOX法に今から備えよう――監査法人トーマツ丸山氏：Interview（5/7 ページ）

[聞き手：堀哲也，ITmedia]

どこまでルールを文書化するか？

ITmedia　手続きの文書化というのに大変な労力が掛かるといわれていますね。

丸山　会計士が見るのはプロセスの適正性となります。インプットの段階ではデザインの整備状況として適正なルールがあるかを見ます。これを「整備状況の評価」と言います。アウトプットでは記録（ログ）を見てルールの通りになっているかを確認します。これを「運用状況の評価」といいます。記録は紙であっても、電子化されていても問題はありません。

　ただ、記録だけがいくらあっても、ルールがなければ意味がありません。「ちゃんとやっている」と口頭で説明してもダメです。文書化された適正なルールがまずあって、それに応じた記録があるということでないと、プロセスが適切に動いているか判断できません。つまり、記録だけだと、どうしてそのような記録（結果）が出てきているのか分かりません。

　問題は、これをどこまで細かく文書化するかということになってきます。

文書化の考え方

　まず文書化には構造として、「What」と「Guide to how」「How」の3つがあります。これはセキュリティポリシーでいうところの「要件」と「ガイドライン」「手続き」に当たります。米国ではこれに「考え方」に当たる「Policy」を加えて、「ポリシー・アンド・プロシージャ」という言い方をします。

　ポリシーは少なくとも文書化されている必要があります。日本企業の規定体系で言えば、「規程」に該当する部分です。問題は、プロシージャをどこまで文書化すべきか、ということになります。しかし、万人が間違いなくできる作業を手続書として文書化する必要はありません。例えば、ドアを開けるという要件があった場合、「ドアノブを右に回し手前に引く」という手続きは文書化する必要はないわけです。

　つまり、ポリシーだけを作成すれば良い場合、ガイドラインまで作る場合、手続書まで作る場合という3つをそれぞれに判断しなければなりません。これをどう区別するかは使う人を中心に考える必要があります。セキュリティポリシーの文書化と同じ考え方です。