私は前回の記事で,米国企業改革法(U.S. Public Company Accounting Reform and Investor Protection Act of 2002)が,SQL Serverデータベース管理者(DBA)と開発者に与える影響について書いた(「米国企業改革法が招くIT現場の混乱(前編)」)。
この法律はSarbanes-Oxley法とも呼ばれており,EnronやWorldComなどの会計スキャンダル対策として可決された。主に上場企業を対象としており,企業会計を投資家にいっそう透明なものにするのが狙いである。前回の記事の結論は「目標は立派だ。しかし管理者パスワードにアクセスできる人間を,会計担当者が最終的に決めるようになる点が懸念される」と。実際,上記記事に対して興味深い意見を受け取った。
現場から管理者権限がはく奪されて人手不足に
「私たちの会社の監査役は,非常に極端なことを始めました。9月20日以降,生産現場での管理者権限をDBAからはく奪したのです。私たちは開発者でもあるというのが理由です。DBAが生産現場の環境にアクセスするときは,ヘルプ・デスクが作業工程書を作るのを待つ必要があります。それからネットワーク管理者にIDを申請しなければなりません(そのため,うまくいって午前2時に仕事が終わるような状態です)。それからログをチェックしなければなりません。毎日作業するログは20強あり,月末には50を超えることもあります。会社では,ログをレビューするためだけに,毎日新しい部門を立ち上げないといけないという冗談が飛んでいます。職務の分離は大きなIT部門があるときは悪いことではないでしょう。しかし,7人が6つの州にまたがるオフィスをサポートする状況では,とても人手が足りません」。
以上のように,この会社のSarbanes-Oxley法の監査役は,製造現場のDBAに「sa」のような管理者アカウントを持たせないことを決めたに過ぎない。私はこれが愚かしい極端な例ならよいと思う。だが,残念なことに,こういうマンガみたいなエピソードは,次第にありふれたものになっているようだ。別の読者が以下のような体験を知らせてくれた。
監査役が変に細かい監査を要求してくる
「私たちは,ちょうどSarbanes-Oxley法でひどい目にあっているところです。個人的な意見では,これまでの努力は完全な時間の無駄です。監査役たちは何をすべきか分かっておらず,変に細かい監査を要求してきます。例えば『どのくらい頻繁にパスワードを変えますか?』とか『バックアップ装置をどこに保管していますか』などと尋ねてくるのです。これは重要な財務上の問題と思えません。こうしたくだらないことに注目している間に,本当に重大な問題が見過ごされたり,全く無視されたりしています。もちろん,上記のような質問はIT監査としては正しいのですが,私は『そんなことが,わが社の財務諸表にどう影響するんだ?』と監査役に言っています。私には,監査役が権限を拡大する手段として,Sarbanes-Oxley法を使ううちに,余計なことに手を出しているように思われるのです」。
データの機密保護を確実にすることは素晴らしい。しかし,会計監査役がデータやプライバシ保護の効率的な方法を考えてくれると思うのは非現実的だ。私はこんなひどいことが続くと,IT担当者が潜在的な問題を監査役に指摘しなくなると思う。IT担当者の仕事をもっと忙しくする要求を監査役が出すと思われるようになるからだ。私は,ささいなものを大げさに考えているのかもしれないが,Sarbanes-Oxley法で管理された会社のDBAにとって,こうした話は例外ではなく一般的な状況だと思う。
