SOX法対応では、システムの職務分掌作業が大変:IT担当者のための内部統制ガイド(7)(2/3 ページ)
内部統制の運用管理とIT統制環境の継続管理
現時点で大半の企業の情報システム部門が想定しているのは、個々のシステムの内部統制整備に向けた準備までのところですが、内部統制は継続管理が求められていますので、継続的な運用管理の効率化を考えておく必要があります。
文書化作業では業務プロセスを適正に記述することが求められ、これをIT情報システムへ適宜フィードバックしなければなりません。こうした作業は、内部統制を整備する作業で完了するのではなく、ここから継続的な管理が始まります。内部統制の運用を効率的かつ省力化する最も有効な手段が、IT情報システムの活用です。つまりIT統制環境の継続的な運用管理は、企業の内部統制を良くするために最も重要なポイントです。
つまり、内部統制の実現とは、その整備と運用という2つのフェイズの作業と考えることができます。整備作業とは、職務規定やプロセスフローチャート(PFC)、リスクコントロールマトリックス(RCM)の文書化作業や、これを実現するシステム化対応作業などが挙げられますが、運用作業は、組織変更や異動、業務プロセスの変更など、毎期の業務の変更管理やこれに伴うテスト・評価・フィードバックに対応する更新に伴うものが挙げられます。今回のテーマはその運用作業の考え方について、検討すべき課題ということになります。
先に挙げた製品販売のケースですが、お客さまからのクレームによって受注内容にまでさかのぼってその情報を変更、更新する必要がある場合、その権限管理や職務分掌を情報システム部門としてどのように考えるべきでしょうか。
お客さまからのクレームに対応するために、受注金額を変更するという場合を考えてみましょう。従来のやり方ならば、営業担当者が受注情報を取り消して再度始めから入力処理を行うというやり方と、受注内容を変更して変更された金額を上長が承認するという2つの手段が考えられます。
内部統制に対応している環境を考えると、確定している受注を取り消すという処理が「営業担当者が単独で判断するものではない」と考えられますので、取り消し処理はできなくするべきでしょう。そうすると上長が変更処理を行うという手段を考えることになるのですが、この処理が不正を誘発しないようにするために、出荷後の受注内容変更に対しては、より上位の責任者(事業部長など)の承認が必要であると考えられます。つまり、こうした変更を承認するための権限管理と職務分掌が重要です。
この変更処理は、会計システムの請求処理や債権管理にも影響すると思われますから、経理部門側で販売管理システムと会計システムで差異が生じていないかを確認する必要があります。ここで懸念されることとして、複数システムをまたがる業務プロセスにおいて職務分掌が機能しないケースが想定されることです。それは異動や昇進、組織改編などによることが考えられます。
複数システムをまたがる職務分掌の実現
営業部門内で申請者が承認者へ承認する場合には、システム内で申請者と承認者のIDが重複する場合にアラートを出すなどの対処によって、リスクを回避することができます。しかし、異動や一時的な兼務を認める組織変更がある場合、複数システムをまたがる業務プロセスにおいて申請者と承認者、変更権限とその再承認の権限が同じIDを持つ場合にはアラートを出すという仕組みが必要となります。
つまり、すべてのシステムでIDが共有化できる仕組みや、業務プロセス上のコンフリクトを自動的にチェックするといった仕組みが必要です(図4)。
情報システム部門では、文書化されたルールより複数間システムにまたがる権限管理の設定と職務分掌をシステムに反映させる作業を請け負うことになるわけですが、個々のシステム内における権限管理ですら煩雑な作業になるうえに複数システムにまたがる権限管理を徹底することは容易ではありません。もちろん業務プロセスの内容を情報システム部門で判断することはできませんから、あってはいけない権限の組み合わせを事前に洗い出して自動的に不適切なIDを見つけ出さなければなりません。
欧米企業でも、こうした業務処理統制に伴う権限管理の徹底と内部統制に対応した職務分掌の実現には苦慮しているようです。IT業務処理統制の実現には、ワークフローシステムやERPの導入が運用管理の効率化を進める有効なツールといわれていますが、現時点で異なるベンダや仕様の複数システムをサポートできるツールは少ないようです(Oracle社の統合ID管理ツールである「Oracle Identity Management」や、SAP社のアクセス/権限コントロールツール「SAP GRC Access Control」、そしてクエスト・ソフトウェア社のIT統制製品群「Quest Compliance Suite for J-SOX」などが、複数システムにまたがるアクセス管理をサポートしているようです)。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- GoogleやMetaは“やる気なし”? サポート詐欺から自力で身を守る方法
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PAN-OSにCVSS v4.0「10.0」の脆弱性 特定の条件で悪用が可能に
ITmediaはアイティメディア株式会社の登録商標です。