内部統制で有用なログの活用術：SOX法コンサルタントの憂い（13）（2/3 ページ）

[鈴木 英夫，＠IT]

ITにかかわる内部統制が担保すべきリスク

　さて、IT分野について、内部統制が防止あるいは発見しなければならないイベントあるいはリスクと呼ばれるものは何でしょうか？

　ITシステムならびに、その業務にかかわるリスクを例示してみましょう。

1. エラーや不正な処理について、保護されていない
2. 処理の追跡調査が不可能なため、規則や契約の順守が認証できない
3. データが改ざんされている
4. 承認されていないユーザーがマスタデータ変更の可能性を有している
5. データベースのマスタメンテナンスが不適切に行われている
6. 未承認者がデータベースやプログラムにアクセスしている
7. 承認されていない変更内容が実行環境に導入され、システムの安定性や運用に影響を与えている

　などなど。たくさんありますね。しかし、これらは起こっては困る事柄ばかりです。

　これらのリスクは、ログを取りそれを有効に管理する（これも内部統制です）ことで予防または発見することができるのです。

ログに対する管理運営

　さて、一般的にログについては、下記のような管理活動が行われています。

　まず重要なことは、ログごとにユーザーサイドのひも付きががあることを確認します。「どのユーザーが行った処理なのか？」が特定できないと、追跡できないからです。

　例えば、「同じIDで3人の担当者がアクセスしている」というような場合にはユーザーの特定ができません。

　さらに、関係者ごとの職務の分担が必要です。その区分は、

1. 開発者＝システムを作る。自分たちでログを読むのはシステムトラブル解消の目的のための原因追跡のとき
2. ユーザー＝マスタデータの中身はすべてユーザーが入力する。IT部門では中身は動かせないことを基本とする
3. IT部門の中、あるいは外に第三者的なログモニタを置く＝その役割はログを見て監視している。不正なアクセスとか、権限外の入力や書き換えなどがないかどうか、など日常的なモニタリングを行う。この日常的モニタリングは、内部統制の重要な要素です
4. 監査部門＝内部統制の有効性の評価、そのほかの監査のためにログを活用する

　という区分がしっかりできていることが必要です。

IT業務処理統制におけるログ活用の例：支払いに対するマスタデータモニタリング

　さて、ログを使ったIT業務処理統制の例を示しておきます。

　この統制の目的は、「すべての支払いに正当な申請書があるか」をチェックすることにあります。発見的統制ですが、それを経理部門あるいは監査部門がやっていることにより、社内で不正をやりにくく抑止する作用があります。

　例えば、「業者マスタの変更履歴ログ」に関連する支払いからサンプルを1月に50件取り、支払システムの次のような項目を選び出し、「裏付けがあるか」「正当なものか」をチェックします。項目としては、

項目	説明
文書番号	支払先の法人・個人のコード
ユーザー名	ユーザーのコード
時刻
Tcod	取引コード
L	データの言語（英語とか）
日付

　以上をシステムから取ってきています。これらの項目が「支払いに対するマスタデータモニタリング」のために必要となります。

項目

申請部署

申請者名

支払先名

　この3つは前述のデータから読み替えて打ち出します。

項目	説明
確認元	例えば申請書原本
申請書の有無	あり／なし
申請書がない場合の理由	例えば慶弔とか

　これら3つはマニュアルで確認します。

　この例では、マスタデータのログでシステム上追跡しているものは、上記のように、かなりの内容までが取れるようになっています。この活動により、不正な支払いはできにくくなります。

　このような、ログモニタリングは重要なプロセスに対して行います。その対象となるようなIT業務処理におけるハイリスク項目の例は以下のようなものです。

• 決算業務のopen/close
• 銀行への振り込み指図データ作成
• 業者マスタ変更（特に銀行口座）
• 顧客マスタ変更（特に配送先）
• プライスマスタ変更
• 棚卸在庫のステータス変更（特に廃棄・移動）