セキュリティのPDCAサイクルが内部統制を実現
各種対策を行った上で、さらにセキュリティを徹底するために活用が見込める機能が、QAW/QNDの監査レポート機能だ。
「禁止はされていないが、推奨されないソフトウェアというものがある。QAW/QNDでそれらの利用状況のレポートを作成して公表したところ、リスト上位に掲載されたユーザが自分の利用方法を省みるきっかけになり、目に見えて使用者が少なくなった。また、セキュリティ対策ソフトのアップデート教育は徹底してあったが、出勤日の少ない社員はPCの起動回数も少ないためにアップデートが遅れがちなことも判明したため、担当を決めて適切なアップデートのために適宜PCを起動することにした。対策の結果や実際の運用状況を把握することが、より良い運用につながることが分かる」(飯島氏)
また「QAW/QND」のオプションである「eX PDS」を活用して各クライアントPCに保存されている個人情報ファイルを把握し、保有者にその利用目的等の申請書を定期的に提出させたところ、各PCでの保有量は激減したという結果も出ている。
こういった抑止効果に見られるように、最終的には人の対応が欠かせない。適切な対応を促すためには、教育によって意識を高める必要がある。 「業務に追われて教育プログラムは後回しにされがちだが、PC起動時に自動的に問題が表示され、1問でも答えれば通常画面が表示されるという仕組みをとった。これによって進度に差はあっても確実に全員が前に進める環境が構築できた。管理側、経営側のこうした工夫も必要だ」(飯島氏)
こうしてIT統制を維持する仕組みを確立し、評価を行える状態を構築した上で、またルールの確認を行う。ルールは法改正やビジネスの変化に合わせるだけではなく、使用すべきではないソフトウェアを段階的に絞り込むなど、対策の進行具合に合わせるという方法もある。世の中の動きに合わせての見直しが必要だろう。
ルールの見直しと設定、その実行のための対策、対策結果を確認するレポートの作成。定期的にこの繰り返しを行うことで、IT内部統制のPDCAサイクルを回す。
「教育とツールの導入を並行するのが統制を実現させるコツ。一度に多くのツールが入るとストレスにもなり、反発も出る。どうしてこういうツールを導入する必要があるのかを教育し、理解を得た上で導入を行うという形が効果的だ。不正行為によるリスクを内部統制により継続的に削減することができる。これらはいつかはやらなくてはならないことだけに、今、時間を有効に利用してぜひ取り組んで欲しい事柄である」(飯島氏)
