標準化とITによる自動化が、成功のカギを握る：監査人が語るアイデンティティ管理の実際

来年度から施行される日本版SOX法への対応に向けて、企業では内部統制の強化が急ピッチで進んでいる。そうした中、部門ごとのシステム化、管理者不足などによって、情報管理が徹底できず、情報漏えいや社内不正をチェックできないことが大きな問題となっている。そこで、課題解決に向けて注目される「アイデンティティ管理」について、監査法人トーマツ・丸山満彦氏と、日本オラクル・北野晴人氏が語った。

[PR／ITmedia]

PR

文書化から運用評価へ　求められるアイデンティティ管理

北野　来年度からいよいよ日本版SOX法の適用年度が始まります。現在、多くの企業が本番稼働に向けて動き始めてきました。日本オラクルに対する相談でも文書管理やERP関連の数も減ってはいませんが、ユーザーの関心が「文書化（見える化）」から次のステップとなる「運用の評価」に移っているのを感じています。

丸山　全体としては、企業の取り組みが文書化から運用の評価へ移行しています。内部監査部門の充実、日本版SOXに対応した内部監査の実施などを行う企業が増えてきています。今後は、会計監査人による予行演習ともいえる「Dry Run」を受ける企業も増えてくるでしょう。これにより問題点の把握と改善・対処がより進むでしょう。

北野　企業が全般統制を進める上で、企業が抱える問題の代表格といわれるのが「アイデンティティ管理」です。これまで多様な企業を見てきた"監査人の目"には、企業の現状はどのように映っていますか。

監査法人トーマツ　エンタープライズ リスク サービス部　パートナー　公認会計士　公認情報システム監査人（CISA）　丸山満彦氏

丸山　アイデンティティ管理はアクセス管理のための前提として重要なポイントの１つです。しかし、管理ができていないにもかかわらず、リスクを感じていない企業もまだ多く存在します。最近はその重要性に気付き、対策を立てる企業も増えてきました。しかし、まだまだアクセス管理についての重要性が認識されておらず、結果、アイデンティティ管理も十分にできていない企業が多いように思います。

北野　そういった企業がアイデンティティ管理を始める際のポイントを教えてください。

丸山　まずは、コンピュータとは関係なく、業務上の職責を明確に定義することです。誰が何をすべきか、何をしてはいけないのかを明確にしなければなりません。ミスや不正の発生を防ぐ「職務分掌」が重要です。複数の人の関与がなければデータを確定できないような仕組みは内部統制の基本です。

北野　アイデンティティ管理の不徹底は、取引データの改ざんを防止できない、情報漏えいや流失をチェックできない体制を生むことになりますが、例えば、粉飾決算ではどのようにして不正が行われるのでしょうか。

丸山　粉飾決算をする場合に、会計システムの元データそのものを不正に変更するケースは少ないように思います。一般的には、会計システムのデータを、決算書に移行する際に発生する修正作業など、抽出データに人の手が介在したときに、不正が行われるように思います。ただし、担当者が資産を流用する場合、例えば、担当者が横領をするような場合は、会計システムのデータ自体を不正に変更することが行われる可能性が高いでしょう。プロセス全体のどこでも不正が行われる可能性がありますので、システム上だけで不正を防ぐことはできません。人が介在する部分もシステム上で処理される部分、それらのつなぎ目の部分を含めた全体として、不正や誤謬が防止できるようにすることが必要です。例えば、売上データと顧客からの注文書が突合することも重要でしょう。

北野　なるほど。それならば、会計システムなどの元データをチェックすることで、裏で行われている不正のエビデンス（証拠）を取ることもできますね。そうした不正への対策となると、アクセス、職責を管理できるシステムが必要になります。

内部統制におけるITのメリット　自動化によるコスト削減

北野　ここ最近はコンプライアンスへの対応が義務付けられたこともあり、プロセスを問われることが多くなったと認識しています。アイデンティティ管理において必要になるプロセスの証明はどのようなことでしょうか。

丸山　監査においてプロセス管理は大切な要素です。例えば社員が入社した際にIDを与えられますが、部門や職位などが変更するたびにその権限も変わります。どのようなときにID情報が変更、削除されるのか、アクセス権限の付与をはじめとしたプロセスとルール作りがポイントになります。

日本オラクル　システム製品統括本部　営業推進本部　担当ディレクター CISSP　北野晴人氏

北野　プロセスを明確にすることができると、責任の所在もはっきりしますね。その意味でも、日本特有の役職の兼務や定期的な人事異動などを考慮したルールの策定には、人事情報と連動できるシステムが不可欠です。また、承認のプロセスも、紙文書と印鑑による従来の方法は手間がかかります。部門やシステム同士の連携ができていないと、作業はさらに煩雑化します。１つの基盤で一元化できるITの自動化も検討したいところです。このあたりのITの利点についてはどうお考えですか。

丸山　IT化のメリットは、同じ作業を効率よく、迅速に行える点にあります。アイデンティティ管理が重要となるのは、企業のシステムの利用実態を見れば明らかです。人事異動のたびにその人の職責は変わりますから、システム上のアクセス権の設定も変更する必要があります。例えば、3000人の企業で、システムが10あったとすると30000もIDが存在する可能性があります。入退社や人事異動のたびに不必要なIDがないか、不必要なアクセス権を与えていないかを確認する必要があります。これは、非常に大変な作業です。ITを利用し、コスト面も含めて効率よく行えるようにすることが重要となります。

北野　コストのお話が出ましたが、内部統制に対してどこまでIT投資するかという課題もあります。

丸山　今まで日本の企業は、アイデンティティ管理やアクセス管理が不十分であったかもしれません。しかし、日本版SOX制度の導入により、このような分野も、経営者評価や外部監査人の監査の目が行き届くようになります。

　アイデンティティ管理やアクセス管理についてのIT投資が有効かどうかは、従業員数、システムの数等に依存するので一概には言えませんが、上場している企業の大部分にとってはIT化のメリットがあると思います。アイデンティティ管理やアクセス管理が日本より厳格に行われていたと思われる米国の場合でも、SOX法適用後2年目からIT投資が増えたという話を聞いたことがあります。おそらく1年目は手作業でアイデンティティ管理やアクセス管理をしたが、さすがにそれでは効率が悪いということで2年目以降IT化を進めた結果だろうと思います。

北野　IT投資については、急激な動きというよりも、長いスパンで緩やかに投資が行われてくるのではないかと考えています。オラクルの例を見ても、1年目は文書化に注力しコストもそれなりに計上しましたが、2年目以降はコストが大幅（数億円単位）に削減できました。

標準化と自動化が両輪に　スモールスタートで最大限の投資効果を

丸山　やっぱり、オラクルさんでもそうですか。他の米国のコンピュータ管理企業でも1年目は、人海戦術でSOX対応をし、2年目以降に計画的にIT化を進めていっているという話を私も聞いたことがあります。1年目は、とにかく制度対応に取り組むということになるでしょうね。業務の標準化や、効率化に常日頃から取り組んでいる企業は、今回の制度対応のために変更しなければならない業務プロセスが少なく、かつ標準化も進んでいるので文書化する業務プロセスの数も少なくてすんでいます。しかし、業務の標準化や適切な内部統制の整備ができていない企業では、今回の制度対応のために業務プロセスの見直しまで必要となってきています。既に業務の標準化が進んでいる企業では、ITを利用した自動処理の導入によるコストメリットも早く享受することができそうです。IT化を進める場合は、その投資効果も見極めながら進めることが重要ですね。そのためには、目標となるコストを"測定"するのも大切です。

北野　SOX法対応のコストは、人件費が約3分の2を占めると言われています。内部統制やアイデンティティ管理を自動化するツールは増えてきましたが、すべてに対応できるわけではありません。ツール導入のポイントはどのようなことでしょうか。

丸山　米国と比べると日本では、いきなりSOX法で利用されたツールの導入に走る企業が多いように思います。ツールの導入を検討する前にまず、業務プロセスの見直しが重要となります。どのようなツールを活用すべきかは、それが決まってからでも遅くありません。日本版SOX制度対応といっても、企業ごとに十分な部分、不十分な部分は異なります。米国の企業が利用したツールがそのままその企業にうまく当てはまるとは限りません。ツールの機能を整理して、その企業が必要としている機能とマッピングすることが大事です。また、最小限のコストで最大限の効果を得るため、会計領域だけでなく企業全体のコンプライアンス強化を見越した体制を作る必要があります。

北野　ITを統制に活用するためには、スケーラビリティも大切です。ビジネスの成長に応じて、本社、支社、拠点、取引先など幅広く対応できる環境を安定して提供していくことも、当社をはじめベンダーの使命だと思います。

丸山　いきなり全社でシステム導入をするよりもまずは小さい領域でフィージビリティ（実行可能性）を確認して、導入に伴う運用上の課題等を整理解決してから、全社展開を図るとよいと思います。いきなり全社展開よりも、スモールスタートが重要だと思います。まずは、スモールスタートによって特定の部門で効果を見ながら、全体最適化を目指すことが大切です。しかし、最後は全社展開をしなければコストメリットを十分に享受できませんから、システムのスケーラビリティを十分に考慮することが必要となります。

【特集】企業ID管理システム確立への道：管理プロセスを自動化し、困難な監査を乗り越える