企業活動において関心の高い「システム運用」。前回はグリーンITの実現について解説しました。第9回は、日本版SOX法に基づく内部統制制度の適用について解説します。
内部統制への対応
金融商品取引法(いわゆる日本版SOX法)に基づく内部統制制度の適用により、経営者・従業員のミスや不正が及ぼすリスクをなくすための取り組みが必要になりました。内部統制制度では、財務報告に関わる統制だけではなく、会計プロセスを行うためのITシステムおよび、そのシステム運用までが統制の対象になります。そして、実現するためには統制するための組織や仕組みの整備が必要です。
具体的なミスや不正行為の例
経営者・従業員のミスや不正行為とは具体的には次のような行為が該当します。
- ミス:業務システムの操作ミス、業務実行手順ミスなど
- 不正行為:会社資産の不正な持ち出しや横領、不正な操作による財務諸表の改ざんなど
金融庁実施基準のフレームワーク
金融庁実施基準である「財務報告に係る内部統制の評価および監査の基準」のフレームワークでは「ITへの対応」とういう要素が盛り込まれており、ITを活用するヒントが得られます。さらに「ITによる統制」と「ITの統制」に分けることにより、業務リスクの把握およびITリスクの把握という観点でITを使った運用ツールとの関わりも整理することができます。
ITによる統制
業務リスクの削減には、ITを活用してミスや不正行為を起こさないように統制することが必要であり、そのためには業務リスクを把握することが重要。
ITの統制
IT構築・運用の不備に起因するリスクを削減するには、IT自体を信頼できるものにするためにセキュリティや運用面から統制することが必要であり、そのためには、ITリスクを把握することが重要。
JP1を利用した業務の自動化によるミスや不正行為を招くリスクの回避
複雑な業務実行に人手が介在することにより、ミスや不正行為を招くリスクが潜んでいます。ITを使って整備できることとして、業務の自動化があります。具体的には、JP1のジョブ管理を使って業務アプリケーションの実行を自動化し、人手によるコンピュータ操作を排除します。
JP1を利用したデータ持ち出し制御により企業資産の漏えいや横領の防止
業務プロセスに潜むさまざまなリスクにおいてビジネス環境におけるセキュリティのリスクが潜みます。その代表として、重要な会社資産の漏えいや横領があります。このリスクに対する対策のひとつにJP1 を使ったデータの持ち出し制御があります。具体的には、共有ファイルやネットワークドライブのデータをCD-ROMやUSB メモリなどのメディアに許可なく複写することをシステム的に禁止し、社外へのデータの持ち出しを抑止します。
JP1を利用した監査証跡管理
上記のような人手を介さない業務実行の自動化や、許可制によるデータの持ち出しなどを行っても、すべてのリスクを回避できるとは限りません。JP1 監査証跡管理によって、業務システムのサーバ運用を中心とした監査ログの記録と監査を行います。業務運用の変更、サーバ上で動作する業務アプリケーションの更新、ユーザ情報の追加や変更といった、サーバ運用に関するログ情報を自動収集し、監査に役立てます。