内部統制で有用なログの活用術：SOX法コンサルタントの憂い（13）（3/3 ページ）

[鈴木 英夫，＠IT]

IT全般統制の例として：変更管理における「ログを活用した内部統制」

　一方、ITシステムにおける変更管理（Change Management）は、通常、要求仕様についての変更要求について影響を正しく把握し、計画を立て、変更作業を実施し、結果を確認する、という一連の作業を管理し、ソフトウェアの信頼性・整合性を確保することをいいます。

　その変更管理において「ログを活用することにより適切なモニタリングを行うこと」は、重要なIT全般統制の例といえましょう。

　それにより、以下の効果を得ることができます。

• そのシステムを作る担当者に大きな過失がないことを保証すること
• デザインがユーザー部署の意図にかなっていることを確認できること
• 当事者以外の部門がモニタリングを行うことができること

　3番目のポイントは発見的コントロールですが、当事者以外の部門がモニタリングしていることで、不正などのリスクに対する抑止的効果があります。

　変更管理とそのモニタリングのプロセスとしては、

1. リスクを特定する
2. 「何のためのコントロールであるか」を定義する
3. Change management systemやMaster data monitoringをデザインする
4. システムにそれらを組み込む
5. そして、内部監査部門など第三者部門がモニタリングする

　この前提としては、職務分掌があることです。

　変更管理については、近年ITILそのほかで定義がされていますが、ここでは「ログを追うことで重要な統制活動となる」ことを繰り返しておきます。

付加価値増大へのヒントと費用対効果

　内部統制におけるログの活用については、IT部門側だけでなく、監査部門側で付加価値を付けて、会社なりの使い方をする工夫が大切です。

　費用対効果の観点からは、「重大なリスクのみをカバーするようにすること」がキーになります。すなわち、アプリケーションが重くなり過ぎないようにする必要があります。

　例えば、ベンダマスタ、カスタマーマスタ、プライスマスタには必要ですが、細かいマテリアルマスタには不要でしょう。社員マスタはなかなか監査部門で触れることができないかもしれません。職務的権限については、「相互で利益相反する権限が、1人の人に付与されていないか」もログでモニタリングできます。

◇

　ログの取得と管理は、発見的統制などの社内的な活動を通じて、財務報告業務のみならず、あらゆる業務における不正や不完全な処理を、発見・防止することができます。

　ITシステムの業務プロセスにおいては、さまざまな内部統制の仕組みが組み込まれつつあります。そして、さらにログを活用した内部統制を整備することにより、IT部門の業務の信頼性向上にも寄与し、監査部門では抑止作用を通じて効果的な不正防止機能を発揮することが期待されています。

Profile

鈴木 英夫（すずき ひでお）

慶應義塾大学経済学部卒業、外資系製薬会社で広報室長・内部監査室長などを務める。

2004年から、同社のSOX法対応プロジェクトコーディネータ。現在は、aiリスクコンサルテーション代表、内部統制コンサルタント。プランナー・オブ・リスクマネジメント、内部監査士。神戸商工会議所登録エキスパート。危機管理システム研究学会会員、大阪J-SOX研究会幹事。

著書：「図解日本版SOX法」（同友館、共著）

近著：「日本版SOX法実践コーチ」（同友館、共著）

連絡先： ai-risk330@jttk.zaq.ne.jp

Webサイト：http://spinel3.myftp.org/hideo/ai-risk.htm

「SOX法コンサルタントの憂い」バックナンバー

• 内部統制が有効でないのはこんな理由だった
• いまさら追加された「内部統制Q&A」のポイント
• 内部統制で有用なログの活用術
• 日本版SOX法の“欠陥・不備”の直し方教えます
• 追加された「内部統制Q＆A」の注意点
• “発見的コントロール”で楽になろう！
• 「内部統制報告制度に関する11の誤解」の注意点
• 3点セットの後に何をすればよいのかが分からない
• “守り”の内部統制から“攻め”の内部統制へ
• 終章・日本版SOX法プロジェクトの進め方教えます
• 続・日本版SOX法プロジェクトの進め方教えます
• 日本版SOX法プロジェクトの進め方教えます
• 立法者の意思を無視して暴走する規制当局
• 複数の共謀者による不正をどう防ぐか？
• 内部統制の抜け穴はふさげるのか？