アドバイザリー

安定したIT全般統制の運用を実現するために

2012.01.25
photo
田丸 展
新日本有限責任監査法人
ITリスクアドバイザリー部 マネージャー
公認情報システム監査人/システム監査技術者/公認不正検査士
監査法人入所後、情報システムに関わる内部統制の構築・評価・監査業務に携わる。現在は監査業務を中心に多数のクライアントを受け持つほか、システム導入や業務改善、情報セキュリティに関するアドバイザリー業務等にも従事。



内部統制報告制度(日本版SOX法)が適用された2008年度以降、上場企業ではIT全般統制の整備が進みました。しかし、多くの会社は、その後の統制手続の見直しを行っています。ここでは一般に見受けられた事例をご紹介することにより、これから上場を予定している会社や上場企業の子会社(未上場/ITGC未整備)に本書をIT全般統制整備する際の整備計画立案時の参考として活用して頂きたいと思います。

アプリケーションのリスクに適合した統制手続の選択

【事例紹介1】

A社では内部統制の整備を機に、ユーザーがアプリケーションを利用する際のパスワードポリシーを制定しました。その際、A社が参考にしたのは、A社が属するグループ内で最も厳しいセキュリティーポリシーでした。イントラネットログオン時、各アプリケーション利用開始時など、すべての認証において「10桁以上/英数字混在/大文字小文字混在/過去3世代のパスワードは設定不可」というポリシーが定められました。

実際にポリシーが適用されると現場はうまく運用できずに混乱に陥りました。パスワード忘れによるヘルプデスク対応が激増し、担当者3名の情報システム部は日々の運用に支障を来たす状態になりました。また、複雑なパスワードを記録した紙が利用者の机やPCに貼られている状況も多く見られました。そのため、ポリシーの適用直後からA社は統制手続の改善が必要となりました。

A社の事例で見られるように、内部統制の適用時には、通常以上の労力を要する事例をしばしば目にします。こうした場合には、統制を適用した際に負荷が掛かる部署を識別し、負荷に応じて一時的にリソースを増強する。さらに、例外的な対応が多発する場合には統制手続を見直すなど、内部統制の適用後において柔軟な対応が必要となることに留意してください。

アクセス管理ツールの導入の失敗

【事例紹介2】

B社では本番環境で承認された作業のみ実施可能な環境の構築を目指しました。環境構築のために導入したのが、サーバーへの接続時に必要な特殊なIDを管理し、サーバー上での作業内容が全て記録されるツールです。このツールの導入により、運用責任者の許可を得た作業のみが実施され、本番環境におけるアクセス権管理の飛躍的な向上が期待されるはずでした。

しかし、運用開始後に未許可の接続が頻繁に発生する状況が検出され、期待された効果がなかなか出ません。その理由を確認すると、原因はライセンス数の不足にありました。費用を抑えるため導入ライセンス数を減らした結果、日々の運用で同時に必要となる特殊なIDの数を満たせなくなったのです。その結果、必要な時に特殊なID が利用できず、ツールを経由しない例外的な接続を認めざるを得なくなりました。

B社では、本番環境へ接続可能な担当者の限定、開発担当者と運用担当者の分離、モニタリング等、サーバーへのアクセス権管理に関する全ての統制を導入したツールに依存していました。例外的な接続を認めたことで、これらの統制は根底から崩れたことになります。内部統制関連における予算の制約でライセンス数増加も難しいため、B社はライセンス数に見合った運用手順への見直しを図ることで事態の収拾を図りました。しかし、サーバー上での運用担当者の作業時間に係る短縮を図り、既存のライセンス数での運用継続が可能になるまでには更に時間を要しました。

内部統制を整備するために新しいツールを導入する際には、日々の業務への支障を出来るだけ抑えられるよう事前の影響度調査をしておくべきです。また、この事例のように、機能面だけでなくライセンス数や導入後のシステム負荷など実運用を十分に考慮の上、ツールの導入を検討することが必要です。

統制手続のグループ企業への周知の失敗

【事例紹介3】

C社ではERPパッケージを利用しており、C社の関連会社でも同じERPパッケージを利用しています。システムの開発・保守作業はC社のシステム部門が実施していますが、ユーザー情報の管理は各関連会社で行っています。そのため、内部統制を整備する際には、C社とあわせて、各関連会社でも同レベルの統制を整える必要がありました。C社の担当者は定期的に研修会を開き、各関連会社の内部統制部門に対して統制内容の説明を繰り返し実施しました。そして、策定されたルールは先行してC社で適用され、翌年からは各関連会社でも適用されました。

新ルールの適用後、C社では定められたルールに従ったシステムの利用がなされました。しかし、各関連会社では①記録が残らないユーザー変更、②定められた担当者以外によるユーザー変更、③棚卸(定期的なIDと付与権限の見直し)が実施されていないなど、ルールに従った管理が実施されていないケースが多く発見されました。

関連会社に対する研修会は定期的に開催され、事前の準備は十分に行われました。しかし、ルール適用後については各関連会社における運用状況のモニタリングが不十分だったのです。その結果、各関連会社が独自の解釈で運用する箇所が発生し、検出事項に対するフォローアップが遅れる原因となったのです。

関連会社や遠隔地の事業所に内部統制を適用する場合、管理手順やルールが理解され、浸透するまでに時間を要するケースを多く目にします。研修などによる周知を繰り返しても理解には限界があり、実運用の中で浸透を図る方法が確実です。C社においても各関連会社における事象の発見後に、臨時の棚卸、およびユーザーリストの差分情報と申請書との照合を四半期毎に実施することで収束を図りました。事前の周知・教育だけでなく、適用後にもルールが浸透されているかどうかのモニタリングが必要となる点について見落とさないでください。

まとめ

これまで三社の事例をご紹介しましたが、三社に共通することは①統制適用前に影響度調査が必要であり、②統制が安定運用に入るまで相応の期間をあてる必要があるということです。つまり、余裕のあるスケジュールで対応することが最も効果的です。また、実運用の中で統制の見直しを迫られ、統制手続を変更することも多くあります。IT全般統制の整備を進める際には、こうした出来事が発生することを考慮しておくべきです。 新規にツールを導入する場合には、①策定予定の手順に沿ってシミュレーションテストを実施する、②導入テスト期間を長めに取る、③統制の見直しを定期的に実施するなど、事前準備、導入テスト、モニタリングの各フェーズの活動を徹底することが必要です。





情報量は適当ですか?

文章はわかりやすいですか?

参考になりましたか?