IT部門も大混乱？ 日本版SOX法に今から備えよう――監査法人トーマツ丸山氏：Interview（4/7 ページ）

[聞き手：堀哲也，ITmedia]

　メインフレームの時代はその上でさまざまなシステムが動いていたため、IDの登録手続も業務処理プロセスにかかわりなく統一されていましたが、分散処理の現在は、IDの登録手続きもバラバラになっていることも多いのです。

　しかし、個人情報保護法のおかげでセキュリティポリシーの整備が進んでいるので、システムに関係なく共通の手続き（ルール）を作成しようという流れになりつつあります。

「開発」「運用」――すべてのライフサイクルで見直しを

ITmedia　セキュリティポリシーが整いしっかり運用されていれば、全般統制は怖くないということですか？

丸山　そうとも言えません。ISO／IEC11799などに基づいて作成したセキュリティポリシーでは、システム開発の部分などをカバーできません。セキュリティは「アクセス管理」と「可用性の確保」ということが中心になりますが、システムには開発／購買や運用／保守というライフサイクルがあります。このライフサイクルにおいて、会計処理を正しく処理できていることを監査人に分からせるプロセスが必要です。システム開発であれば、企画、要件定義からリリースされるまでの一連の開発手順に標準的なものが必要になってきます。

内部統制のデザイン

　システム運用についても同様です。支店の販売システムのトランザクションを本社で集約してバッチ処理している場合、「途中でトランザクションが落ちていないか」「オンライン処理での転送エラーが出ていないか」などをチェックしないといけません。保守においては、システムのバグ直しや税率の変更などによるプログラムの作り直しをチェックする必要が出てきます。SOX法は、セキュリティ以外のところにも大きくかかわってくるのです。