ソリューション

IT統制 今後求められる対策とは

2008年4月以降、改正金融商品取引法、いわゆるJSOX法に対応するため、上場企業では様々な業務について内部統制の仕組みが整備されてきました。
IT部門では、開発と運用の組織の分離、役割の明確化といった体制面の整備から、開発、テストと本番環境への適用に至る変更管理プロセス、本番システムと本番データへのアクセス管理の厳格化、ログの保管と点検など、ITに対する統制の整備が行われました。

ところがその内部統制の有効性について、企業自身はそれほど高い評価をしていない一方で、残課題の認識も非常に低いのが現状です。※
これは、現状企業は、内部統制の整備を主に法への対応のために行っており、本来の目的であるリスク管理レベルの向上により業務の健全性を確保し、企業価値の向上を図るために取り組んでいないことを示唆しています。

今こそ企業は、内部統制に関する適切な評価と本来の目的達成に向けた課題の把握を行い、改善を行っていく必要があるのではないでしょうか?

エンカレッジ・テクノロジが考える目指すべきIT統制の取り組み

弊社では、企業が目指すべきIT統制についての取り組みは以下の通りであると考えています。

1.効率化 - リスク管理レベルとかかる統制コストの関係を断ち切る

より多くのコントロールを実施したり、モニタリングのサンプル数を増加させることで、リスクは低減します。しかし一方で統制活動を人手によるマニュアル対応で行う場合、かかる統制コストが増大してしまいます。

リスク低減効果とコストの関係01

また、マニュアルでの対応の場合、同じ統制レベルを実施しようとすると、システムの規模が大きければ大きいほど、かかる統制コストも増大してしまいます。

リスク低減効果とコストの関係02


統制レベルを維持したまま、統制活動の維持コストを下げ効率化するためには、ITによる自動化された統制の仕組みを構築し、人手を介する要素を最小化することが肝心です。
 

2.高度化 -内部統制の本来の目的を達成するために

ITによる自動化された統制のメリットは、統制活動の効率化だけではありません。マニュアルでは人手の関係上、JSOX対象のシステムに対してのみ、法的要請の範囲内で対応するのが精一杯だった場合でも、ITによって統制活動を自動化することにより、効率化され余裕が生まれることで企業が本来めざすべきリスク管理態勢へと統制活動を高度化、広範化させることが可能になると考えられます。

ESS SmartIT Operationが提供するIT統制基盤とメリット

エンカレッジ・テクノロジが提供するソリューションフレームワークESS SmartIT Operationの多くの要素は、IT統制の実現をご支援します。
下表は、IT全般統制の領域における一般的なリスク要因とESS SmartIT Operationが提供するコントロールの例です。

業務 リスク コントロール例 ESS SmartIT Operationが提供する統制機能
変更管理 プログラムが改ざんされたり、承認なく変更される。 システムソフトの変更を含むプログラム変更、システムの変更及び保守管理については、変更管理手続にしたがっている。
(標準化され、記録され、承認され、文書化されている)
■SIOワークフローによる承認プロセスの確立
■ESS AutoQualityによる変更・リリース手続きの文書化と標準化および変更作業の自動化と記録の保管
本番環境に変更結果を移行する際にプログラムが改ざんされる。 変更されたプログラムの本番移行に際して、移行を責任者が承認し、移行作業にあたっては権限の分離が行われていること。
テスト テスト結果の記録が残されていないと、機能が正しく開発されているかの証拠がない。 財務情報に係る情報システムの重要なテスト( 受け入れテスト等)では、テスト項目や結果を記録して、保管する。 ■ESS AutoQualityによるテスト手順の文書化とテスト結果の記録と保存
システムの運用 運用時の誤操作によって誤った処理が行われる。 本番環境での運用で、財務情報に係るすべての処理が、完全性、正確性、正当性を満足するように、運用について標準的な手続として文書化されており、これにしたがっている。 ■ESS AutoQualityによるシステム運用手順の標準化、文書化およびコマンド自動投入による作業の自動化
運用時の不正な操作等を発見できない。 情報システムとデータ処理について、企業にログ採取・分析についての方針があり、それに基づいてログが採取されて、必要な項目がモニタリングされている。 ■ESS RECによるシステム操作の動画およびテキストによる記録とAuditorレポートによる定期モニタリングの実施
■ESS AutoAuditorによる未承認操作、不正操作の自動発見
アクセス管理等のセキュリティ対策 特権ユーザは情報システムの変更や担当者の追加・削除等ができるため、統制されないと改ざん等の不正が発生する。 特権については、運用基準があり、特権の付与に際して、最小限にとどめていること。利用が終わって、不要になれば、すぐに特権を停止する。 ■ESS AdminControlによる特権IDの貸出管理の自動化
情報セキュリティインシデントの管理 情報セキュリティインシデントへの対応が適切に行われないと、被害が拡大する。 情報セキュリティインシデントが発生したとき、適時に記録されて、分析され、解決される。 ■ESS RECの記録の分析によるセキュリティインシデントの原因究明と再発防止策の立案 ⇒検知ルールやAuditorレポートの検索定義へ反映
承認されていない行為をモニタできず不正な行為が行われて、インシデントが発生する。 適切なログ管理機能によりインシデントの原因を究明する。
不正行為等が起きた場合に、適時に管理者に通知し、警告する機能(ユーザアカウントをロックする等) 等、セキュリティインシデント対応の機能が整備されている。 ■ESS AutoAuditorによる未承認操作、不正操作の自動発見
■ESS RECの画面ロック機能
IT全般統制のモニタリング IT 全般統制についてモニタリング機能がないため、不正や誤り等を検出できない。 IT の日常的なモニタリングに関するポリシや手続、ルールが定められ、これに基づいてモニタリング活動が実施され、記録が保存されている。 ■ESS AutoAuditorによるブラックリスト定義に基づく点検作業の自動化
モニタリングの証拠が正しく保全され、保管されていない。 ログ等の情報は正しく保全され、保管されている。 ■SIOワークフローにおける統制プロセスおよび活動内容の記録と保存

変化に影響を受けないESS SmartIT Operationのアーキテクチャー

統制基盤を提供するESS SmartIT Operationの特長は、リスクコントロールとしての機能面だけではありません。変化に影響を受けないアーキテクチャーこそが、ESS SmartIT Operationの特長でありIT統制基盤として活用いただく上での最大のメリットです。

1.組織・体制の変化に対応できるアーキテクチャー

統制活動は、企業内の組織とその役割、担当者の職務分掌の規定に大きく依存します。統制基盤としてのITは、これら組織や担当者の職務分掌の変化に柔軟に対応しなければなりません。例えば承認プロセスが大きく変更された場合、それに柔軟に対応できること、担当者の役割を柔軟に修正できることなどの要素が重要となります。

2.システム環境の変更に対応できるアーキテクチャー

現在、企業には多種多様なシステムが乱立している状態です。それぞれのシステムは異なるライフサイクルで管理されており、順次見直し、リプレイスが検討されます。統制活動を支えるITがそれぞれのシステム環境に依存するものであったり、特定のシステム環境しかサポートしないものであったりすると、システム更改の度に仕組みの見直しを検討しなければなりません。
このような支障を発生させないためには、IT統制のための基盤技術は、対象のITシステムから独立し影響を受けないこと、そしてプラットフォームなど様々なシステム環境に対応できるものであることが重要です。

イメージ画像02

エンカレッジ・テクノロジのESS SmartIT Operationに基づく各製品は、これらのアーキテクチャーをベースとし、企業な多様なITシステムに対するIT統制の効率化と高度化の実現をご支援します。

※ 企業IT動向調査2010 「金融商品取引法の評価・課題」社団法人日本情報システム・ユーザー協会

 

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時