 図7●システム間で正しくデータが送受信できているかの証明も,情報システム部門が担当する ニッシンは,本社と子会社の会計システム間のインタフェースを重点的に見直した [画像のクリックで拡大表示] |
IT業務処理統制は,業務部門が利用する情報システムの処理内容に不正や誤りがないことを証明する仕組み作りのことである。業務部門が実施したリスク分析の結果を基に,情報システムを使った改善策を提示する。
ニッシンは,システム間のインタフェースを徹底的に見直した(図7)。例えば,本社と子会社の会計システム間で,子会社の財務データが本社の会計システムに正しく入力できていない場合,連結決算に狂いが生じるというリスクを回避するためである。業務プロセスを洗い出したところ,子会社によって,財務データを自動で取り込ませる場合と,社員が入力して手動で取り込ませる場合があった。
自動取得の場合,正しくデータが取り込まれていることを証明するために,業務プロセスの文書に,テスト結果を追加することにした。自動取得でない場合は,システム的にテストを実施することはできないので,入力する社員の上長が,入力内容をチェックして承認するというプロセスを追加するとともに,承認したという記録を残すことにした。
アクセス・ログを取得
ファイザーでは,万が一重要なシステムに不正アクセスがあった場合に検知できるように,システムへのアクセス・ログを取得するツールを導入した。このアクセス・ログは監査人に提出を求められる場合があるので,保存しておく必要がある。
ここで問題になるのが,保存にかかるコストと手間である。すべてのログを残しておければ問題はないが,ストレージを追加するコストにも限度がある。磁気テープやMOなどの外部媒体に記録しておくにも,数が大量になると管理の手間がかかり過ぎる。
 図8●ファイザーはシステムのアクセス・ログを取得する仕組みを導入した ログのデータ量を考慮し,システムへのアクセス頻度の高さによって,保存方法と取得するログの割合を変えている[画像のクリックで拡大表示] |
そこでファイザーでは,システムへのアクセスの多さによって,保存するログの割合と,保存方法を変えることにした(図8)。例えばアクセス頻度が低いシステムに関しては,アプリケーションへのすべてのアクセス・ログを,システムを構成するサーバーのハードディスクに保存する。ある程度アクセス頻度が高いものは,同じくすべてのアクセス・ログを,MOなどの外部媒体に記録するか,紙に印刷して保管しておくことにした。
ログ保存対象を絞り込み
頻繁にアクセスがあるシステムについては,コストのバランスを考えて,アクセス・ログをすべて取得するようにはしていない。不正アクセスがあると財務報告に影響を与える可能性のあるデータベース,さらには特定のテーブルに絞り込んで,アクセス・ログを取得している。
例えば,商品の価格テーブルはアクセス・ログを取得している。価格テーブルが無断で書き換えられると,売り上げや利益に影響し,財務報告に影響を及ぼすというリスクがあるためだ。一方,組織の関連を表す組織テーブルは,万が一書き換えられても直接的に売り上げや利益に影響を及ぼさないと考えて,アクセス・ログを取らないことに決めた。
ファイザーの野島英蔵氏(ビジネステクノロジー・ジャパン プログラム・オフィス 予算管理課 課長)は,「アクセス・ログの取得は必須だと考えているが,すべてのアクセス・ログを取るのは非効率。SOX法対策の1年目から,どのシステムのアクセス・ログを取ればいいかを考える必要がある」と指摘する。
