先週、私が執筆を担当した「建設ITキーワード:IT統制」がケンプラッツで公開されました。今回は、キーワード解説から一歩進めて、IT統制の成熟度を高め、実のあるものとしていくにはどうしたらよいのかについて、まとめてみたいと思います。以前この連載で執筆したIT統制についてのコラム「避けては通れない内部統制、その基本を知ろう」(2009年11月公開。もう1年以上経っていますが…)とも併せて、皆さんの参考になればと思います。
J-SOX(日本版SOX法)対応会社や、ISMS(情報セキュリティマネジメントシステム)を導入している会社に勤務されている方とっては、 “してはいけないこと(「しなければいけないこと」ではない)”の教育はガッチリと受けられていると思いますので、「今さら」と思われる内容かもしれません。ですが、システム部門の大変さを理解いただくうえでも、少しお付き合いください。
IT統制の必要性を全員で共有
さて、少し前に日本中を騒がせた“尖閣映像流出事件”は、まさに組織のIT統制ができていないために起こったといえます。一般企業であれば会社の運命を危うくするレベルのものです。
「わが社では、会社のデータを持ち出してYouTubeにアップするような社員は絶対にいない」と思っている方は、IT統制の考え方からすると“アウト”です。以前執筆したコラムでは「“統制”という言葉は生々しいので“コントロール”と読み替えてください」と書きましたが、このような事故が起こると、やはり“統制”という言葉の方がイメージとしてつかみやすいのではないか、と思い直しています。
IT統制については、「経営層やシステム部門が仕組みやルールを決めて周知・実施命令が来るから、それを守ればいいんだよ」「便利な機器やソフトが安く、または無料で出回っているのに、会社からは使用許可が下りない。時代と逆行しているのでは?」といった意見も聞きます。
しかし、こうした意見はIT統制の本質からは外れているといえます。問われているのは、“なぜこのようなIT統制が必要なのか”を全員が共有できるかどうかです。欧米的な性悪説を前提にした統制ルールは、常に新たなリスクを作り出して際限のない深みにハマってしまいます。一人がルールを守らない不正なデータ処理(善・悪は関係ありません)を行えば、グループ全体のデータの信憑性を無くし、最悪の場合はシステム全体の見直しをすることになります。同じくルールを守らないダウンロードを行えば、すべてのダウンロードを禁止せざるを得なくなり、かえって不便になります。我慢することもIT統制です。
「建設ITキーワード」でも説明しましたが、IT統制の成熟度を高めていくには、ITにとどまらない全社的な統制システムを向上させていかなくてはなりません。また、自社だけではなく、IT開発・運用の委託先、さらにグループ企業を含めた統制システムを構築していくことになります。
私も、運用委託会社へ付与する特権ID(システム管理者用のID)の管理では大変苦労しました。契約をキチンと結び依頼及び報告体制も考えられることは行ったつもりですが、監査法人からは疑問を突き付けられました。お金をかけた上に大変な手間を要するシステムを構築することとなりました。
対策は定期的な見直しが
IT統制では、一度決めた対策を頑固に守るのではなく、定期的な見直しのサイクルを繰り返していくことが大切です。事故(リスク)の形態も変化するためです。このサイクルは、(1)現状の把握、(2)ITリスクの洗い出し、(3)予防策(改善策)の決定、(4)予防策(改善策)実施、(5)評価+フォローアップ、という5段階の繰り返しです。一つのサイクルの期間と責任者を決め、ワンストップでまわすことお勧めします。
(1)現状の把握
現状の把握は、システム部門の体制にとどまらず、グループ全体の体制やシステムの開発手順といったことも絡むことから、経営層を巻き込むことはもとより、ソフト開発・運用依頼会社の専門家の知恵や、監査法人を利用することも必要でしょう。COBIT(Control Objectives for Information and related Technology)のフレームワークを利用するのもよいでしょう。
(2)ITリスクの洗い出し
現状を把握した後で、下表のようなリスク評価票を基にリスクの分析と評価を行い、重要な(未対応)のリスクを洗い出していきます。できるだけ具体的に洗い出しをしてください。
(3)予防策(改善策)の決定
リスクの洗い出しが具体的であればあるほど、予防策(改善策)の決定は難しくありません。しかし、対策の実施には、人・時間・費用といった経営資源を投入する必要があるため、効果的かつ効率的なものを選択する必要があります。
(4)予防策(改善策)の実施および(5)評価+フォローアップ
予防策(改善策)の実施にあたっては、責任者と期限を定め、必要があれば関連部署(場合によっては委託先や関係会社など社外も含む)と協働しながら実施することが重要です。完璧なものはありません。実施が適切に行われているか、問題はあるのか、常にヒアリングやサンプリング・チェックといったモニタリングを行う仕組みを構築してください。(1)のメンバーによる評価体制もリアルタイムできるようにしてあれば完璧です。その評価をふまえた周期的なフォローアップを行ってください。
経済産業省の「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)の付録部分には、IT統制の代表的な枠組みの比較や、サンプリング、リスクコントロール・マトリックスの例などが記載されています。興味ある方(あまりいないとは思いますが…)は参考にしてください。
下表は代表的なIT統制の枠組みの名称です。いかにも専門的ですね。例えば、「IT委員会報告第3号」という名前、なんかカッコ良くありませんか。正式には、「公認会計士協会IT委員会第3号-財務諸表監査における情報技術(IT)を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」です。わざと専門家しか読み下せないようにしている感じですが、基本的な考え方は単純です。企業の外部からの“そのデータは信頼していいですか”といった問い合わせに対して、“わが社は、あんな方法、こんな方法で、信頼を担保しています”と言い切るための方法を解説しているだけです。COBIT、ITILしかりです。
おわりに
今回のコラムを書くにあたり、同業他社の方やベンダーの方に、IT統制のポイントとなるような面白い話や苦労話などについてヒアリングをしました。「キチンとした計画の基に進めていかないと大変なことになる」「お金をかければ質の高い仕組みは作れるがそれを常に維持していくのは大変」「一度手をつけてしまうと後戻りができない。際限のない深みにはまってしまう怖さがある」……といった声は皆さん一緒でした。IT統制の成熟度を高めるには、「限られた経営資源の中で、無理なく(徐々に)IT統制の成熟度を高めていくよう、常に改善を行っていくしかない」という結論に達しました。
執筆:東建IT研究会 |
