エンカレッジ テクノロジ株式会社 企業における内部統制確立に向けた取り組みはどのような状況なのか? 企業における IT 全般統制に関する取り組みの変遷企業では 2008 年 4 月より適用となる改正金融商品取引法 ( 日本版 SOX 法 ) 対応に向け内部統制確立に向けた取り組みを実施してきました IT 全般統制については どのような取り組みがなされてきたのでしょうか? 社団法人日本情報システム ユーザー協会 (JUAS) が毎年実施している企業 IT 動向調査から興味深い結果が示されています 下のグラフは 2008 年 2010 年に行われた企業 IT 動向調査の中で IT 全般統制に関わる取り組みについての回答を表しています 100% 90% 80% 70% 60% 50% 40% 30% 20% 実施しない 検討中 実施済 10% 0% 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 システムの変更管理で必要なドキュメントを作成し 承認者及びそのレベルを明確にしている 事後的にログ情報などアクセス情報を分析している 開発と運用は組織として明確に分離している システムの再構築や ERP パッケージを導入する ビジネスプロセスを見直している 本番データのアクセス状況を管理する専門担当者を置いている 長期間の同一業務を避けるため 担当者を定期的に入れ替えている その他 図 1. 金融商品取引法に対する IT 統制の具体的な対策 (2009 年実施済の割合が多い順 ) ( 出典 : 企業 IT 動向調査 2008 および 2010 社団法人日本情報システム ユーザー協会 ) この調査結果から 2007 年 ( 日本版 SOX 法施行前 ) と 2009 年 ( 施行後 ) の取り組みの変化を伺うことができます 各項目で実施済の割合が増加しているものの 手続きや体制の見直し等で可能な対応 ( グラフ中囲んだ部分 ) にとどまり 根本的な対応 ( 人材の育成 プロセスの見直し システムによる対応 ) は リーマンショクの影響もあり 取り組んだ企業は少ないことが見て取れます このことは 各企業がリスクを内在したままであり かつ対応にかかる負担がアドオンされている企業が多いことが考えられます このグラフにはありませんが 業種や企業規模による対応の 2 極分化も見られます そこで弊社がお客様との会話を通し 内部統制に対する取り組みの典型的なパターンをケーススタディとしてご提示することで 現状の課題と課題解決のための提案をお示ししたいと思います
ケーススタディ 1 製造業 A 社 プロファイル従業員数約 1,000 名の製造業 A 社の情報システムは 基幹システムを中心に 10 種類ほどのサブシステムから構成されています UNIX/Windows サーバーなどオープンなアーキテクチャを採用し 現在サーバー数は約 200 台に及んでいます 情報システム部は 社員 30 名で構成され うち 18 名が運用担当者です A 社のシステムは開発時 SIer に委託して開発しましたが 細かなプログラムの変更とリリース作業および運用監視業務は自社の社員で行っています プログラムの変更 OS のパッチ導入などの変更 リリース業務は 週平均して 20 件ほど発生しており 年間 1,000 件ほどに達する業務量になっています 内部統制強化への取り組み A 社は日本版 SOX 法施行前 開発と運用合わせて 27 名の体制で行っていました 内部統制の強化にあたり 開発と運用の組織および環境の分離を行うことになり 今まで兼務で行っていた業務を完全に分離するためには体制を増強する必要がありました そこで追加要員を確保し権限の分離を図りました また IT 全般統制に関わる取り組みとして以下のようなルールの規定と運用手続きの変更を実施しました 1 確実な承認ベースでの変更作業の実施開発担当者がプログラム変更など 本番環境に対してシステム操作を行うには作業申請書に作業目的と内容 作業時間等を記述し 開発責任者の承認を経て運用チームから最終承認を得るという組織の分離に基づく承認ルールとしました Excel ワークシートで作成された専用の申請用紙に記入 紙ベースで回覧し関係部署の承認を得るという形で運用を開始しました 2 厳密なアカウント管理従来 個々のシステムのアカウント管理は各システムを担当する運用担当者が管理を行っていましたが これも権限を分離し専任のアカウント管理者を設けて管理するように変更しました これによりシステム担当者が自由にアカウントを作成して操作を行うことで発生する誤操作 不正操作などのリスクを排除できたものの 開発チームから依頼のある変更作業を行うためには アカウント管理者より一時的な作業用アカウントを発行してもらう必要が生じました 3 ログの取得とチェック作業の強化作業中に利用するアカウントの権限の濫用によるリスクを低減するため プログラム変更作業などのシステム操作の終了後 OS やデータベース プログラムのシステムログ 作業ログを収集し 予定されていない作業の有無を運用責任者がチェックするルールを導入し 週あたり 20 件ほどの作業の事後点検を行うこととしました A 社の課題 : 圧倒的なリソース不足 A 社ではこれらの取り組みにあたり 前述したように数名の増員は行ったもの IT の活用は見合わせました システム規模と取り組み内容からして 多大な投資は不要と判断したためです ところが組織を変更し 権限の分離のもとで運用を開始すると 人的なリソースが想定以上に不足する事態になり さらに 10 名ほどのリソースを追加する必要性があることが判明しました リソースの不足をまねいた要因は以下の通りでした 1 プログラム変更 リリース業務において 当初権限の分離により運用担当者の作業量が増加 一方で 運用担当者へ引き継ぐ作業手順などのドキュメントの作成工数が開発者の負担となり 開発 運用担当者を数名増員する必要が発生した 2 毎日発生する変更作業に合わせて一時的なアカウントの管理が煩雑であるため アカウント管理者を 1 名増員する必要が生じた 3 ログのチェック作業が想定以上に工数のかかるものであったため 日々 20 件の点検作業を行うため 数名の増員を行うことになった 現在 A 社では これ以上の人員増は大きな企業負担となってしまうため 人員を増加させずに必要な手立てが行える方策の検討に入りました Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 2
ケーススタディ 2 金融業 B 社 プロファイル B 社は従業員 5,000 名を有する金融業界の中堅企業です 情報システムは分社化した子会社によって開発 運用を行っており 子会社全体で 100 名 開発 運用部門は 80 名体制にて 600 台程度のサーバーで構成される親会社のシステムの開発と維持を任されています 法規制 新サービスの提供などでシステム変更頻度は高く 毎日 20 件 年間 4,000 件に及ぶ非定型的なシステム操作を実施しています 内部統制強化への取り組み B 社では JSOX 法の施行をきっかけに内部統制強化に向けた取り組みを計画 以下のような部分で IT の活用による対応を実施しました 1 変更 リリースに関する電子ワークフローシステムの導入従来の紙ベースの作業申請では効率的ではないと判断し 運用ルールに沿った承認ルールをデザインできるワークフローツールを導入 2 600 台のサーバーのアカウント作成や削除を集中管理するための ID 管理製品の導入原則として共有アカウントの利用を廃止 作業単位で必要なアカウントの発行を行う運用にしたが 手作業では多くの工数がかかるため 集中管理できる ID 管理製品を導入 3 操作内容やシステムへのログイン ログオフを集中管理するための統合ログ管理システムのログを個別に管理していると 点検作業が効率的に実施できないと判断 統合ログ管理製品を導入 上記システムの初期投資費用は ソフトウェア ハードウェアおよび設計 導入費用含め約 1 億円 システムの保守 運用費用は 年間約 2,000 万円となっています B 社の課題 B 社では 上記システムの導入を無事に終え JSOX 初年度の監査に臨みました IT 全般統制については 周到な準備と上記 IT の活用で万全と思われていましたが 実際には以下のような不備を指摘され 改善を行う必要があると判断が下されました 1 変更モジュールのリリースに関する承認履歴とアカウント発行履歴の矛盾一部のリリース作業において ワークフローシステムで承認された日時よりも前にアカウントが発行され作業を開始していたものがあり 承認に基づく作業 の原則という統制が必ずしも有効に機能していない この原因は緊急でモジュールの修正を行う必要が生じた際 承認者が不在の場合に未承認状態ではあったものの 事情を説明の上アカウントを発行してもらい 作業を実施したケースがいくつかあったが その例外処理の記録や事後承認が行われていない状態であった 2 作業開始時に発行されたアカウントの削除し忘れ作業用に発行されたアカウントの一部に削除し忘れのものがありリスク要因になるため 定期的な棚卸作業を行い 不要なアカウントの存在の有無を確認することで対処する必要があると指摘された 3 ログチェックによる評価の記録の不備統合ログによって作業内容の妥当性をチェックしていることは説明したが システム毎に取られるログの内容が異なり 作業内容の妥当性の説明に多くの時間を取られることになった 加えて誰がいつチェックを行い 問題がなかったかどうかといったチェックを行ったことの記録がないという点について指摘がなされた B 社はこれらの不備を修正するために 承認を得なければアカウント発行できない仕組み アカウント棚卸の定期的な実施 ログのチェックの実施を記録するための新たなデータベースの構築 を行う必要が生じました しかし それぞれ構成される IT ソリューションの連携インターフェイスが共通化されておらず 一部の連携等については人による手作業を行わざるを得ないことが判明し 根本的な課題解決に向けたアプローチを検討することになりました Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 3
弊社が提案する特権 ID 利用のためのシステム運用のあり方 A 社のケースでは IT の活用を行わず 運用ルールの変更を主体に 実際の運用はマニュアルで実施しようとしたことによる人的コストの増加 B 社のケースでは IT の活用がポイントソリューションであったため (1) 各ソリューション間のつなぎの部分に人が介在せざるを得ず その人の管理の不備が結果として 統制上のリスク要因となってしまった (2) 既存の仕組みを変えることなく対応しようとした結果 リスク管理レベルの統一に追加のコストが発生した例として紹介しました すなわち 体制面やシステム面での対応を施したにも関わらず結果として必要なレベルのリスク管理に到達していない状況にとどまっているといえます 弊社が様々なお客様との会話を通して学んだことは 多くの企業が同様の課題を抱えていることであり 弊社ではその根本解決に必要なものとして 特権 ID 利用のリスク対処の手続きである変更の申請 承認から実施結果の確認 レビューまでを統括的にサポートすることのできるソリューションである という結論に至りました このソリューションは 以下の要素で構成されている必要があります 1 組織と権限分掌をサポートする承認ワークフロー企業によって異なる組織と権限分掌の仕組みに対応し かつ 組織や環境が変化してもその変化に追従可能な柔軟性のある申請 承認基盤としてのワークフローシステム 2 アクセス管理の自動化ワークフローと連携し 承認済作業に応じて自動的に付与され 利用期限経過後に自動的に削除される ID 管理によるアクセスコントロール基盤 3 人による操作の確実な記録システム毎のログ内容のばらつきをなくすための操作記録の共通基盤 4 作業内容のチェックの自動化承認された作業内容と実際に行われた作業の突き合わせ予定外の作業の有無を自動的に発見する自動突合機能 ESS AutoAuditor は 特権 ID 利用のリスク対応に必要な上記 4 つの要素を統括し かつそれぞれの要素が有機的に連携することで人的要素の最小化し システム運用の統制自動化と効率化を実現するソリューションです 2 つのケーススタディでの期待される効果 前述したケーススタディで例として示しました製造業 A 社と金融業 B 社のケースで ESS AutoAuditor によってどのような解決策が導き出せるのかをお示しします A 社の場合 : ケース1 製造業 A 社においては 10 名程度の増員 ( 年間約 5,000 万円 ) を行うかわりに ESS AutoAuditor によるシステム運用の統制基盤を採用することにより 初年度の初期投資として一時的に 4,000 万円程度の投資が必要ではあるものの 人員増を行わずに必要な手だてが可能となることにより 結果として 1 年目に投資回収を実現しつつ 必要とされる作業内容のチェックを自動化することで 人に依存しない均一化された統制レベルを手に入れることができます 年間 5,000 万円を想定していた人的コスト増と比較し 初期費用 4,000 万円 運用費用年間 1,000 万円を計上しても 1 年目で投資回収が見込まれます 300,000 単位 : 千円人員増による対処 250,000 ESS AutoAuditorによる対処 200,000 150,000 100,000 50,000 0 1 年目 2 年目 3 年目 4 年目 5 年目 図 2. A 社における TCO 比較シミュレーション Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 4
B 社の場合 : ケース B 金融業 B 社については 今まで別々の IT ソリューションを導入しながらもプロセス間のつなぎで人が介在することによる統制上の課題があり これを解決するためには個々のシステムのカスタマイズで約 2,000 万円の投資が必要な状況 さらにこれら不備の修正に関わる監査対応 特にサンプリングによる監査には相当の負荷が生じています 現在導入しているワークフローや ID 管理製品など部分的なツールをつなぐために工数をかけるのではなく これらを置き換え統合的な機能連携が行える ESS AutoAuditor を新たに採用した場合 初期投資として約 5,000 万円が必要ではあるものの 現状利用している個々のソフトウェアをすべて置きかえることで保守費用を年間 1,000 万円程度に抑えることができるほか 250,000 単位 : 千円 200,000 現行ツールの追加カスタマイズ ESS AutoAuditorによる対処 150,000 100,000 50,000 0 1 年目 2 年目 3 年目 4 年目 5 年目 図 3. B 社における TCO 比較シミュレーション 監査にかかっていた人的費用 ( 年間約 30 人月 ) についても 統制の自動化によりサンプリングの手法を行う必要がなくなり トータルとして 40% 程度の TCO が削減できる想定になりました また同時に必要とされる統制レベルを獲得し システム操作に関わる成熟度の高い統制活動を維持 さらに向上させることが可能になります まとめ冒頭でご紹介した社団法人日本情報システム ユーザー協会の 2010 年に行われた IT 動向調査では 日本版 SOX 法対策に関する自己評価について聞いています その中で明らかになっているのは 今の統制の仕組みの有効性について評価している企業が 22% と低い一方で 残課題があり対策を講じる必要があると考えている企業もわずか 5% に過ぎないという結果になっています この回答結果は 内部統制の確立が企業価値の向上につながるという基本理念が実際にはそれほど浸透しておらず 特に IT 部門においては 最低限必要な手立ては行ったものの 効果を客観的に測定し 最終目標とのギャップを明確にしたうえで これからの改善に向けた計画がなされていない傾向であることを示唆させるものと言えます 弊社ではシステム運用における現状の課題についての具体的な声をもとに 改善のためのソリューションを提供する形でご支援を行っております 是非 貴社におかれましてもシステム運用の現状をお聞かせいただき コスト削減と効率化のお手伝いができればと考えています 2010 年 12 月 1 日発行 エンカレッジ テクノロジ株式会社 103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名 商品 サービス名は それぞれ各社の商標または登録商標です Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 5