IT全般統制におけるアイデンティティ管理:企業ID管理システム確立への道(4/4 ページ)
わが国でも、米国におけるSOX法(サーベンス・オクスリー法)に端を発した金融商品取引法(通称J-SOX)が成立し、対象となる上場企業では各種の準備が行われている。文書化やリスクコントロールマトリクスの作成、またすでに監査法人と相談しながら「ドライラン」(監査の予行練習)を行っているところもあるが、全体的にはまだ模索段階の企業も多い。
内部統制におけるITを使った自動化のメリット
ここまで述べたようにアイデンティティ管理を多くのシステムに共通の基盤として統合・実装することで効率良く内部統制の要求事項に対応することができると同時に、IT統制の構築・運用・監査のコストを大幅に削減できる。ここまで説明してきたアイデンティティ管理のプロセスはすべてマニュアルで統制を行うことも可能だが、そのためにかかる人的コストや人為的ミスが起きる可能性などを考えると現実的ではない。
米国のSOX法関連統計では、上場企業がSOX法対応に使った費用のうちの60%以上が人件費(内部人件費・外部のコンサルタントなどを含む)であったというデータがあり、圧倒的に人件費が占める割合が大きいと言える。これはアイデンティティ管理についても同様である。事実、2002年にSOX法が施行された米国では翌2003年からITによる自動化のためのシステム投資が始まり、多くの企業でアイデンティティ管理のIT化がスタートした。米国企業もマニュアル統制による多大な人件費を負担し続けるのではなくITによる自動化・省力化によるコスト削減に取り組んだのである。
また監査についても、アイデンティティ管理を含めた全般統制を各業務システム単位で構築した場合より、一元的な基盤としてシステム化した方が統制を評価する単位を減らすことができる。またITで自動化してあることで監査の際のサンプル数も少なくてすむ。
IT 統制は一貫した処理を反復して継続するので、その整備状況が有効であると判断された場合には、IT 全般統制の有効性を前提に、人手による内部統制よりも、例えばサンプル数を減らし、サンプルの対象期間を短くする等、一般に運用状況の評価作業を減らすことができる⇒(実施基準 V.4(2)Aハ)。
「システム管理基準 追補版(財務報告に係るIT 統制ガイダンス)・付録5“サンプリング”」より
このように内部統制を構築する上でIT全般統制のための基盤は非常に重要で、かつ結果的に内部統制の構築・運用・監査のコスト削減をもたらす。その中でもあらゆるIT業務処理統制、セキュリティ対策などの前提となっているアイデンティティ管理については特に重要であり、そのコストについてはユーザー・プロビジョニングなどのシステムを使って自動化することで大きな削減を期待できる。
関連記事
- 攻めに転じよ!――日本オラクルが提唱する「戦略的」内部統制
- 「ファイルもDBも適切なアクセス管理を」、アシストら3社が特権ユーザー管理支援策
- 日本オラクル、DB監査ソリューション「Oracle Audit Vault」を発表
- 内部統制対応のための包括ソリューションを国内投入――日本オラクル
- 日本オラクルとSENA Systems、ID管理の導入支援で協業
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.