アビームコンサルティング
フェロー
徳田 弘昭

 経済的で、かつ実務に使えるIT統制の進め方を解説するのが、この連載の狙いです。前回から、ビジネス全体の統制を効率よく、かつ経済的に実施できるようにするための「ビジネスシステムの断絶を防ぐ6つの仕組み」を説明しています。6つの仕組みは以下の通りです。

(A)業務プロセス全体の可視化
(B)業務プロセスとアプリケーションの接続
(C)正確な稼働記録の獲得
(D)関連情報のDB化
(E)関連情報の自動獲得
(F)関連のトレースと表示

 前回は業務プロセスをアプリケーションに結びつける考え方と手段として、(A)業務プロセス全体の可視化、と(B)業務とアプリケーションの接続を取り上げました。今回は、「稼働情報の記録」を保持するために必要となる仕組みである(C)正確な稼働記録の獲得、と、(D)関連情報のDB(データベース)化を説明します。

 本連載の第1回「『統制サイクルの不備』がトラブルの根源」で説明したように、 IT統制をはじめとする統制の活動を進めるためには、管理モデルを設定したうえで、管理モデルに従った形で統制サイクルを確立する必要があります。管理モデルとは、統制サイクルを実行する際の基本となる経営やITにかかわる情報項目や、その関係を表したものです。統制サイクルは、実績記録の獲得、差異の分析、改善の実施といった作業で構成されます。

 内部統制の観点では、管理モデルは内部統制の構造を、実績記録は業務実施ログをそれぞれ表します。(C)正確な稼働記録の獲得は後者を正確に実施するための仕組み、(D)関連情報のDB化は前者の確立に必要な仕組みと見なせるでしょう。

正確な稼働記録の獲得

 IT統制サイクルを円滑に進めるには、情報システム全体の振る舞いを的確に把握し、正確な稼働記録を獲得する必要があります。ここで問題なのは、ログが分散していることです(図1)。

図1●ログが分散している状態
図1●ログが分散している状態

 情報システムは、アプリケーション・ソフトウエアやデータベースといったソフトウエアやハードウエアなどの“部品”で構成されています。通常はそれぞれの部品ごとに、自らの稼働状況を管理・監視する独自のログ獲得の仕組みを備えています。順に見ていきましょう。

業務プロセスとアプリケーションの稼働記録

 業務プロセスとアプリケーションの稼働状況を把握するために必要なのが、アプリケーション・ソフトウエアのログです。この情報は、前回説明した(A)業務プロセス全体の可視化と(B)業務とアプリケーションの接続の考え方を使って獲得できます。

 稼働記録は、図2のようになります。

図2●業務プロセスとアプリケーションの稼働記録
図2●業務プロセスとアプリケーションの稼働記録
[画像のクリックで拡大表示]

 例えば、「2009年3月12日の14時39分03秒」に「39769」というユーザーが「財務-資産運用第一部」の権限により、「ファンド管理、マスター登録、定期処理」という業務を実施し、その中でプログラム「/LTD/UniManage/UserMaster_ProcessEdit.aspx」を起動させたことを記録しています。