内部統制におけるコンピュータの運用とEUCセキュリティツールで作る内部統制(10)(3/3 ページ)

» 2007年05月11日 12時00分 公開
[中島 浩光@IT]
前のページへ 1|2|3       

EUCは洗い出しとルールの適用が重要

 EUC(End User Computing)とは、業務効率化のために、表計算ソフトや簡易データベース(MS Access)などを利用し、ユーザー自身が独自で開発しているアプリケーションを指します。IT内部統制においては、システム部が知らないところで利用されていることもあります。高いスキルを持つユーザーの場合、相当に複雑な計算をしていたり、ちょっとしたシステム並みの機能を持つアプリケーションを作っていたりします。

 筆者の知り合いに、製造業での生産管理を担当している方がいるのですが、数メガバイトのMS Excelのファイルを独力で作り、自分の作業の効率化を行うだけではなく、部内のほかの人たちにも広めていました。これは極端な例かもしれませんが、このようにEUCが正式に業務プロセスの中に入り込んでくることになると、業務アプリケーションと見なして対応していく必要があります。

 こういったEUCへの対応のポイントですが、ユーザーが開発したものを業務アプリケーションと見なし、それに対するIT全般統制をどう構築すればよいか、と考えれば、これまでの連載で解説してきたIT全般統制のポイントがほとんどそのまま当てはまります。従って、

  • ユーザーが開発したEUCのファイルに対するアクセス管理が文書化されており、アクセスが制御されて不正な使用や改ざんがされないように保護されているか
  • 正式なものであると承認されており、文書化されているか
  • 業務上必要な要件を満たすことがテストされているか
  • ファイルやデータは適切にバックアップされているか

 などがポイントになります。しかし、EUCにおいては、

  • どのくらい使われているかの洗い出し
  • 使用の際のルールのユーザーへの展開(適用)

 という2つの問題があります。通常EUCはユーザー側に主導権があるため、きちんとリストを作って管理しているところはあまりありません。また、必要に応じて作ったり改造したりするため、EUCとして開発したものがどのくらいあるのかを把握するのが難しい(場合によってはユーザーも把握していないときがある)のです。そのため、この洗い出しについては粘り強く行っていく必要があります。

 また、ルールのユーザーへの展開についても、決めたルールをユーザー側で守らないということも往々にしてあるため、EUCで作ったファイルについてはローカルのPCではなくファイルサーバなどで一括して管理するといった対応により、「本番環境」をどこにするかをユーザーと協議して決めるなどして、ユーザーにとっても守りやすいルールにしていくことが重要になります。

最後に

 この連載も、10回目となる今回で最後となります。連載を始めたときには金融商品取引法も成立していませんでした。

 連載をさせていただいたこの1年間に、法律が成立して実施基準も決まり、「内部統制」がキーワードとして騒がれるようになりました。世間では内部統制に関していろいろといわれていますが、内部統制はあくまで手段であって、目的(金融商品取引法でいえば、「財務報告の正確性・信頼性」)ではありません。

 内部統制の構築として、業務プロセスの文書化やシステム対応などを行うことも重要ですが、それ以上に内部統制を運用し、さらに改善していける人材を確保し、育てることが企業にとっては重要なのです。

 「何とかとハサミは使いよう」といいますが、素晴らしい内部統制の仕組みを作っても、運用が伴わなくてはいけないのです。読者の皆さまには、この点も考えていただければと思います。どうもありがとうございました。

Profile

中島 浩光(なかじま ひろみつ)

日本CA株式会社 カスタマーソリューションアーキテクト

1993年、アンダーセン・コンサルティング(現アクセンチュア)入社。同社の技術グループにおいて、幅広い業種のITプランニング、SI全般、運用、情報セキュリティ、プロジェクト管理などを経験。2000年ころから情報セキュリティを中心に活動。

2005年1月にCAに入社、2006年6月より現職。現在、セキュリティ製品を中心に顧客へのソリューション提案、アセスメントの実施、セミナーでの講演などを行う。

東京工業大学理工学研究科経営工学修士課程修了



前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ