なぜIT統制に不備が発見されるのか
コンサルティング部 シニアコンサルタント
木村暁氏
内部統制対応作業において、3月期決算の企業はすでに評価フェーズに突入しており、3月期以降の企業ではまだ構築フェーズもあればすでに評価フェーズを試しているところもあると思われる。
まず構築フェーズの最初の段階では、規定化、業務の可視化、業務スキルの標準化が目的になる。ただ実態は文書化が先行し、規定や標準化のためのフローチャート作成が後回しになってしまっているケースが多い。また、現状についての話し合いが全体でなされず、限られた人だけで議論して進められている。その結果RCMの整備が優先され、RCMに基づいた規定化という、本来とは逆の発想をしている企業もあるようだ。
木村氏は「構築フェーズの前段階で規定を定めることが重要」と指摘する。なぜなら規定がなくては担当者が「何を改善しなければいけないか」「どういう準備をしなければいけないか」が分からないからだ。当然、規定を理解する時間も確保できない。
評価フェーズではどうか。ここでは運用の出来映えと、その証跡の改善について見ることになる。しかし木村氏の経験では、運用が追いついていないことが多く、その証跡も記載項目に漏れがあることも少なくないという。
IT部門に整備後の運用について周知徹底することは、実は一番難しいのだが、重点的に集中して行う必要がある。木村氏は「時間が限られているために運用の定着は簡単ではないが、可能な限り効率的に実施することを勧めたい」と述べた。
監査側の視点
監査側は最低限、以下の3点を確認する。1点目は牽制機能である職務分離の確認だ。ITに関する職務分離という点では、縦、横、組織の職務分離という考え方ができる。縦は、担当者と承認者である上長の関係を指している。横は、担当者同士のレベルであり、開発担当者と運用管理担当者の分離になる。そして組織では、システムの利用部門と管理部門という分け方ができる。
2点目は準拠性であり、ルールに基づいているかを見る。3点目は信頼性。ルールに基づいて運用している活動を証明できるかどうか。確認対象は単純に証跡に限られる。信頼性を担保するための申請書、報告書、管理するための一覧表などだ。そして実際の監査は質問と閲覧、検査、観察、再実施という4つの手法で行われる。
この3点の他にも評価ポイントがあるが、その粒度やどこまで細かく見るかは監査員次第で変わる。そこは協議して進めていくことが重要だが、最低限、上記3点は注意深く見ておく必要がある。
初年度監査に向けて
先行企業が運用フェーズに入り、実際に不備のタイプが定義できるようになってきた。不備のタイプは大きく、「整備の不備」と「運用の不備」に分けることができる。整備不備では規定に問題があり実態の方が正しい規定不備、RCM側の内容が間違っている運用の不備、そして証跡不備がある。
運用不備は、網羅性不備と実在性不備に分けることができる。網羅性不備は、証跡の不一致や承認行為の問題だ。実在性不備は、たとえばプログラムの開発変更における各段階の日付に関して発生する。
トライアル状況で見られる不備には、整備と運用の双方で、分かっていてもなかなか対応できないものも並んでいる。そこで木村氏は、初年度に向けては、たとえば規定であれば理想論にはせず、あくまでも実態に合わせた規定を作っていく方がいいとアドバイスした。
時間が不足しているため、初年度監査に対応するためには、応急処置を含めた暫定対応にならざるを得ない。監査を無事クリアするためには、運用の徹底がポイントになる。そのために必要なのは、周知活動の確実な実施だ。
不備改善アプローチ
初年度の監査をクリアした後に取り組むことになるのが、明らかになった不備の改善だ。同時に初年度における対応の過程で、運用負荷の軽減やIT業務の向上、ITモニタリングの品質向上など、必ずしも不備対応ではない課題も分かってくる。そこで木村氏は、現状把握、課題管理と改善検討、改善計画、不備改善の整備、導入とモニタリングという5ステップの不備改善アプローチを提案した。
不備改善では、改善の余裕があるかないかで対応を分ける必要がある。余裕がなければ今回の初年度対応でありがちな暫定対応で取りあえず進み、対応計画で何とか乗り切る。余裕があれば不備改善のアプローチを実行し、本番に備える。ここでのポイントは、根本解決に向けた問題解決、目標の設定と対策レベルの検討、講じた対策に応じたモニタリングの実施だ。
最後に木村氏は、不備発生の理由にはIT部員への社内規定の不徹底とその結果生じる運用の不定着があると述べ、IT組織における標準化の検討、根本原因を問う問題管理、そして定期的なモニタリングの重要性を強調してセッションを結んだ。
【関連リンク】
・三井物産セキュアディレクション株式会社
