【第4回】日本版SOX法などのコンプライアンス要件に対応できる基礎体力を備えるために必要なこと

前回は、IT全般統制においてセキュリティに直結する「アプリケーションとデータへのアクセス」の領域にフォーカスし、そのポイントとなるIDとアクセス権限の定義、アクセス制御、アクセスの監査/監視について解説した。第4回となる本稿では、IT全般統制において、まだ触れていない「プログラム開発」「プログラム変更」「コンピュータ運用」の3つの領域に関するチェックポイントと、IT業務処理統制における「プロジェクト管理」の領域に関するポイントについて考察したい。

求められるシステムの正確な実装・利用・維持の保証

　SOX法で求められる内部統制は、「全社的な内部統制」と「業務プロセスに係る内部統制」の2つの統制について、その有効性が評価されることになる。以前からの繰り返しになるが、これらの統制についてITを活用した内部統制のフレームワークに落とし込むと、まず、「全社的な内部統制」は、会社全体を対象とした「IT統制環境」に相当する。IT統制環境による全社レベルでの統制が、運営スタイル、方針、協力体制、情報共有などに影響し、その組織の気風が決まっていくのである。

　2番目の「業務プロセスに係る内部統制」は、財務諸表に深く関係する業務プロセスを対象とした「IT全般統制」と「IT業務処理統制」に相当する。企業における会計、製造、物流、販売など、それぞれの業務プロセスに組み込まれたITを利用した統制が「IT業務処理統制」であり、具体的には業務システムがそれにあたる。また、組織の持つIT基盤によって様々なITサービスが提供されるが、「IT業務処理統制」である業務システムを支援する形で「IT全般統制」が位置づけられる。

　IT全般統制の最終的な目的は、業務プロセスで利用する業務システムの正確な実装・利用・維持を保証することにある。IT全般統制は、「プログラム開発」「プログラム変更」「コンピュータ運用」「プログラムとデータへのアクセス」の4つの統制領域に分類でき、その中でセキュリティに直結するため極めて重要となる「プログラムとデータへのアクセス」の領域については前回検討済みだ。今回はまず、残りの3領域について考えてみたい。

ITを利用したIT統制のポイントは「自動化」

　3領域のうち「プログラム変更」と「コンピュータ運用」の2つの領域は、ITIL（ITインフラストラクチャ・ライブラリ）のフレームワークで、そのほとんどをカバーすることができる。この領域で求められるのは、正確な運用管理および維持である。

　通常、財務報告関連のシステムをバッチで動かしたり、データのメンテナンスを行ったり、プログラムのバージョンアップを行ったりといった業務がある。こういったコンピュータ運用の領域においては、いかにシステムを効率的に使っていくかがポイントとなる。いわゆる統制の“自動化”であり「ITを利用したIT統制」である。自動化することによって、できるだけ人手に頼らない運用を行うべきだ。とりわけ運用業務自体、強い権限を持つ人が作業を担当することになるため、マニュアルではなく、決まったことは自動的に確実に行われるようにすることが求められるのである。

　また、こうした日常の運用業務において、システムが落ちるなどの障害が発生した場合は、縮退運用やマニュアル操作による代替運用で急場をしのぐことになる。注意すべきなのは、こうした状態は統制レベルが落ちた運用になっている点だ。

　つまり、正常な状態で運用されていればITによって統制が効いた業務になっているが、代替運用に切り替わった状態になると、必要な手続きが省略されたりして、統制レベルが犠牲になる。つまり、業務停止の回避が重要であり、緊急時においては統制レベルが犠牲になることも仕方がないのだが、その状態が長く続いてはいけない。「ITの統制を効かせる」すなわち「正常なコンピュータ運用を維持する」ことが重要であり、不具合が起きたときには直ちに復旧させて、正確さを維持することが求められる。

　もちろん、プログラムやデータに関しても、正しい状態を維持しなければならない。復旧の観点では、データを元に戻すためにストレージにデータをバックアップし、正常な状態が確保されていることが統制の大前提である。

SOX法に関わる監査スタック