さて、IT分野について、内部統制が防止あるいは発見しなければならないイベントあるいはリスクと呼ばれるものは何でしょうか?
ITシステムならびに、その業務にかかわるリスクを例示してみましょう。
などなど。たくさんありますね。しかし、これらは起こっては困る事柄ばかりです。
これらのリスクは、ログを取りそれを有効に管理する(これも内部統制です)ことで予防または発見することができるのです。
さて、一般的にログについては、下記のような管理活動が行われています。
まず重要なことは、ログごとにユーザーサイドのひも付きががあることを確認します。「どのユーザーが行った処理なのか?」が特定できないと、追跡できないからです。
例えば、「同じIDで3人の担当者がアクセスしている」というような場合にはユーザーの特定ができません。
さらに、関係者ごとの職務の分担が必要です。その区分は、
という区分がしっかりできていることが必要です。
さて、ログを使ったIT業務処理統制の例を示しておきます。
この統制の目的は、「すべての支払いに正当な申請書があるか」をチェックすることにあります。発見的統制ですが、それを経理部門あるいは監査部門がやっていることにより、社内で不正をやりにくく抑止する作用があります。
例えば、「業者マスタの変更履歴ログ」に関連する支払いからサンプルを1月に50件取り、支払システムの次のような項目を選び出し、「裏付けがあるか」「正当なものか」をチェックします。項目としては、
項目 |
説明 |
文書番号 |
支払先の法人・個人のコード |
ユーザー名 |
ユーザーのコード |
時刻 |
|
Tcod |
取引コード |
L |
データの言語(英語とか) |
日付 |
以上をシステムから取ってきています。これらの項目が「支払いに対するマスタデータモニタリング」のために必要となります。
項目 |
申請部署 |
申請者名 |
支払先名 |
この3つは前述のデータから読み替えて打ち出します。
項目 |
説明 |
確認元 |
例えば申請書原本 |
申請書の有無 |
あり/なし |
申請書がない場合の理由 |
例えば慶弔とか |
これら3つはマニュアルで確認します。
この例では、マスタデータのログでシステム上追跡しているものは、上記のように、かなりの内容までが取れるようになっています。この活動により、不正な支払いはできにくくなります。
このような、ログモニタリングは重要なプロセスに対して行います。その対象となるようなIT業務処理におけるハイリスク項目の例は以下のようなものです。
Copyright © ITmedia, Inc. All Rights Reserved.