事故前提社会における           企業を支えるシステム操作統制とは

Similar documents
事故前提社会における           企業を支えるシステム操作統制とは

J-SOX 自己点検評価プロセスの構築

ALogシリーズ 監査レポート集

<4D F736F F F696E74202D D312E A90A78CE48AC28BAB93B193FC835C838A B E707074>

(Microsoft PowerPoint - \220V\213\214\225\266\217\221\224\344\212r\203\\\203t\203g\202o\202o\202s\216\221\227\277ADVIT1-30\224\305.ppt)

<90528DB88EBF96E2955B2E786C73>

やよいの顧客管理

弥生給与/やよいの給与計算

弥生 シリーズ

弥生会計 プロフェッショナル/スタンダード/やよいの青色申告

弥生会計/やよいの青色申告

弥生会計 ネットワーク/プロフェッショナル2ユーザー

スライドタイトル/TakaoPGothic

内部統制ガイドラインについて 資料

以下の事項は 弊社の一般的な製品の方向性に関する概要を説明するものです また 情報提供を唯一の目的とするものであり いかなる契約にも組み込むことはできません 以下の事項は マテリアルやコード 機能を提供することをコミットメント ( 確約 ) するものではないため 購買決定を行う際の判断材料になさらな

プロジェクトを成功させる見積りモデルの構築と維持・改善 ~CoBRA法による見積りモデル構築とその活用方法について~

スライド 1

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

— intra-martで運用する場合のセキュリティの考え方    

統合運用管理ソフトウェア Systemwalker 総合カタログ

相続支払い対策ポイント

150423HC相続資産圧縮対策のポイント

ハピタス のコピー.pages

Copyright 2008 All Rights Reserved 2

Office 365監査ログ連携機能アクティブ化手順書

PowerPoint Presentation

Start SaaS で実現するプロジェクト管理 株式会社佐山経済研究所 IT Research Laboratory Sayama Research Institute

Gruener_Jd_ qxd

<4D F736F F D F815B B E96914F92B28DB8955B>

情報漏洩対策ソリューション ESS REC のご説明

2 NTT データビズインテグラル会社概要 会社名 本社所在地 株式会社 NTT データビズインテグラル NTTDATA BIZINTEGRAL CORPORATION 住所 東京都港区六本木三丁目 5 番 27 号六本木山田ビル 2 階 電話 設立年月日

日本機械学会 生産システム部門研究発表講演会 2015 資料

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 関連する利害関係者の特定 プロセスの計画 実施 3. ISO 14001:2015への移行 EMS 適用範囲 リーダーシップ パフォーマンス その他 (

大規模災害等に備えたバックアップや通信回線の考慮 庁舎内への保存等の構成について示すこと 1.5. 事業継続 事業者もしくは構成企業 製品製造元等の破綻等により サービスの継続が困難となった場合において それぞれのパターン毎に 具体的な対策を示すこと 事業者の破綻時には第三者へサービスの提供を引き継

PowerPoint Presentation

目次 1. よくあるご質問一覧 回答一覧 改訂履歴 Page- 2

Oracle Access ManagerとOracle Identity Managerの同時配置

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

営業活動 人それぞれ 暗黙知 Aさんの商談手順 Cさんの商談手順 Bさんの商談手順 できる営業 が受注するために 必ずやっている基本動作 体系的に整理 営業活動プロセス できる営業 のノウハウを見える化 形式知 2

お取引先様向け 調達情報システム利用申請 追加、変更、削除用マニュアル(日本語版) Rev.1.1

intra-mart EX申請システム version.7.2 事前チェック

<4D F736F F F696E74202D20658BCE91D38FD089EE8E9197BF81698AAE915394C5816A2E707074>

目 次 1. 目的 利用前提 承認経路 ユーザ ID 権限申請 ( 変更 廃止 ) 上長承認 アプリオーナー承認 ユーザ情報確認 調達部門管理担当課向け

ISO27001 アウトソーシング システム開発 システム運用 CMMI PMO データベース ダウンサイジング 大規模開発 BI クライアント PC 組込みシステム Android FeliCa 勤怠管理 システム統合 さあ いこう 戦略策定 調査 分析 ITコンサルティング システム移行サービス

PowerPoint プレゼンテーション

ISO9001:2015内部監査チェックリスト

desknet's NEO 初期設定マニュアル

PowerPoint Presentation

ACL Analytics Leaflet

<4D F736F F D C90BF8ED A93C192E890DA8EED8AC7979D DEC837D836A B2E646F6378>

Microsoft PowerPoint - interfax_jirei7.ppt [互換モード]

組織内CSIRT構築の実作業

<4D F736F F D A8D CA48F43834B C E FCD817A E

スライド 1

PPTテンプレート集 ver.1.0

ムの共有アドレス帳 インスタント メッセージングの宛先に活用することも考えられる 統合アカウント管理 認証 認可 ( アクセス制御 ) の機能 サービス機能 サービス定義統合アカウント管理利用者の認証情報 ( ユーザ ID パスワード) と属性情報 ( グループ 所属部門等 ) を一元的に管理する機

Sol-005 可視化とRCSA _ppt [互換モード]

システム管理マニュアル

untitled

ソフト活用事例③自動Rawデータ管理システム

第 3 章内部統制報告制度 第 3 節 全社的な決算 財務報告プロセスの評価について 1 総論 ⑴ 決算 財務報告プロセスとは決算 財務報告プロセスは 実務上の取扱いにおいて 以下のように定義づけされています 決算 財務報告プロセスは 主として経理部門が担当する月次の合計残高試算表の作成 個別財務諸

Microsoft PowerPoint - メイテツコム事例(掲載用)

初心者にもできるアメブロカスタマイズ新2016.pages

Ⅰ. 経緯 国際金融コミュニティにおける IAIS の役割は ここ数年大幅に増加している その結果 IAIS は 現行の戦略計画および財務業績見通しを策定した際には想定していなかった システム上重要なグローバルな保険会社 (G-SIIs) の選定支援やグローバルな保険資本基準の策定等の付加的な責任を

- 2 Copyright (C) All Rights Reserved.

How to Use the PowerPoint Template

OneDrive for Businessのご紹介

目次 予算編成業務 とは... 3 予算編成業務 の課題 ~ 製造業 K 社の場合 ~... 5 xoblos 導入後の 予算編成業務... 7 登録商標について

お客様各位 ~ IT 資産管理サービス ASSETBASE ~ ASSETBASE Ver.8.5 リリースについて 2017 年 11 月 10 日 株式会社内田洋行 日頃は IT 資産管理サービス ASSETBASE をご利用いただきまして 誠にありがとうございます この度 ASSETBASE

Copyright 2017 JAPAN POST BANK CO., LTD. All Rights Reserved. 1

BACREX-R クライアント利用者用ドキュメント

パラダイムシフトブック.indb

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

2013年度新卒者振り返り

Microsoft PowerPoint 年度サーバクライアント管理実態調査リリー

ISO19011の概要について

Microsoft Word - ESX_Restore_R15.docx

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P P.11 P.14 P.15 P.16 P.16 P.17 P.19 P.20 P.22 P P P P P P P P P

KDDI Smart Mobile Safety Manager Apple Business Manager(ABM) 運用マニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

P. 2 P. 4 P. 5 P. 6 P. 7 P. 9 P.10 P.12 P.13 P.14 P.14 P.15 P.17 P.18 P.20 P P P P P.25 P.27 P.28 Copyright 2016 JAPAN POST BA

スライド 1

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

<4D F736F F D208DBB939C97DE8FEE95F18CB48D EA98EE58D7393AE8C7689E6816A2E646F63>

uVALUEテンプレート《新》

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

ICT関連の職種について ー職業選択の参考にー

Windows Server 2016 Active Directory環境へのドメイン移行の考え方

Oracle Enterprise Manager 10g System Monitoring Plug-In for IBM WebSphere Application Server

システム管理マニュアル

項目記載事項必須 1.4 非機能性 更新業務仕様書の 3-4 非機能要件 を踏まえ 提案するシステムに関して 基本的な考え方や方針 アピールポイント等を簡潔かつ明瞭に記述すること 3-4 非機能要件 の (1) から (4) に区分し すべての項目について記述すること 1.5 他システム連携 更新業

目次 はじめに... 3 仮想化環境上の仮想マシン保護方法... 4 ( 参考 )Agent for Virtual Machines での仮想マシンのバックアップ... 8 まとめ 改訂履歴 2011/04 初版リリース 2012/10 第 2 版リリース このドキュメントに含まれる特

Copyright All Rights Reserved. -2 -!

スライド 1

Fuji Xerox Co., Ltd. All rights reserved.

標的型攻撃の内部対策の要特権アカウントの保護 2017 年 5 月 エンカレッジ テクノロジ株式会社 はじめに ますます巧妙化する標的型攻撃 企業や官公庁における情報漏えいなど情報セキュリティインシデントが相次いで発生している背景から セキュリティリスクは企業や官公庁にとって対処すべき重要な課題の一

目次 1 章はじめに 本書の利用について Web ブラウザーについて 章 kintone でタイムスタンプに対応したアプリを作成する kintone にログインする kintone でアプリを作成する

目次 ログインページ 3 成果公開申告 A 成果公開の予定のみを申告する場合ページ 4 B 成果公開の実績がすでにある場合ページ 7 申告内容更新 C 申告した内容を修正する場合ページ 16 D 事務局から修正依頼があった場合ページ 21 状況確認 E 認定状況の確認ページ 23 認定対象成果 が当

Transcription:

エンカレッジ テクノロジ株式会社 企業における内部統制確立に向けた取り組みはどのような状況なのか? 企業における IT 全般統制に関する取り組みの変遷企業では 2008 年 4 月より適用となる改正金融商品取引法 ( 日本版 SOX 法 ) 対応に向け内部統制確立に向けた取り組みを実施してきました IT 全般統制については どのような取り組みがなされてきたのでしょうか? 社団法人日本情報システム ユーザー協会 (JUAS) が毎年実施している企業 IT 動向調査から興味深い結果が示されています 下のグラフは 2008 年 2010 年に行われた企業 IT 動向調査の中で IT 全般統制に関わる取り組みについての回答を表しています 100% 90% 80% 70% 60% 50% 40% 30% 20% 実施しない 検討中 実施済 10% 0% 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 2007 年 2009 年 システムの変更管理で必要なドキュメントを作成し 承認者及びそのレベルを明確にしている 事後的にログ情報などアクセス情報を分析している 開発と運用は組織として明確に分離している システムの再構築や ERP パッケージを導入する ビジネスプロセスを見直している 本番データのアクセス状況を管理する専門担当者を置いている 長期間の同一業務を避けるため 担当者を定期的に入れ替えている その他 図 1. 金融商品取引法に対する IT 統制の具体的な対策 (2009 年実施済の割合が多い順 ) ( 出典 : 企業 IT 動向調査 2008 および 2010 社団法人日本情報システム ユーザー協会 ) この調査結果から 2007 年 ( 日本版 SOX 法施行前 ) と 2009 年 ( 施行後 ) の取り組みの変化を伺うことができます 各項目で実施済の割合が増加しているものの 手続きや体制の見直し等で可能な対応 ( グラフ中囲んだ部分 ) にとどまり 根本的な対応 ( 人材の育成 プロセスの見直し システムによる対応 ) は リーマンショクの影響もあり 取り組んだ企業は少ないことが見て取れます このことは 各企業がリスクを内在したままであり かつ対応にかかる負担がアドオンされている企業が多いことが考えられます このグラフにはありませんが 業種や企業規模による対応の 2 極分化も見られます そこで弊社がお客様との会話を通し 内部統制に対する取り組みの典型的なパターンをケーススタディとしてご提示することで 現状の課題と課題解決のための提案をお示ししたいと思います

ケーススタディ 1 製造業 A 社 プロファイル従業員数約 1,000 名の製造業 A 社の情報システムは 基幹システムを中心に 10 種類ほどのサブシステムから構成されています UNIX/Windows サーバーなどオープンなアーキテクチャを採用し 現在サーバー数は約 200 台に及んでいます 情報システム部は 社員 30 名で構成され うち 18 名が運用担当者です A 社のシステムは開発時 SIer に委託して開発しましたが 細かなプログラムの変更とリリース作業および運用監視業務は自社の社員で行っています プログラムの変更 OS のパッチ導入などの変更 リリース業務は 週平均して 20 件ほど発生しており 年間 1,000 件ほどに達する業務量になっています 内部統制強化への取り組み A 社は日本版 SOX 法施行前 開発と運用合わせて 27 名の体制で行っていました 内部統制の強化にあたり 開発と運用の組織および環境の分離を行うことになり 今まで兼務で行っていた業務を完全に分離するためには体制を増強する必要がありました そこで追加要員を確保し権限の分離を図りました また IT 全般統制に関わる取り組みとして以下のようなルールの規定と運用手続きの変更を実施しました 1 確実な承認ベースでの変更作業の実施開発担当者がプログラム変更など 本番環境に対してシステム操作を行うには作業申請書に作業目的と内容 作業時間等を記述し 開発責任者の承認を経て運用チームから最終承認を得るという組織の分離に基づく承認ルールとしました Excel ワークシートで作成された専用の申請用紙に記入 紙ベースで回覧し関係部署の承認を得るという形で運用を開始しました 2 厳密なアカウント管理従来 個々のシステムのアカウント管理は各システムを担当する運用担当者が管理を行っていましたが これも権限を分離し専任のアカウント管理者を設けて管理するように変更しました これによりシステム担当者が自由にアカウントを作成して操作を行うことで発生する誤操作 不正操作などのリスクを排除できたものの 開発チームから依頼のある変更作業を行うためには アカウント管理者より一時的な作業用アカウントを発行してもらう必要が生じました 3 ログの取得とチェック作業の強化作業中に利用するアカウントの権限の濫用によるリスクを低減するため プログラム変更作業などのシステム操作の終了後 OS やデータベース プログラムのシステムログ 作業ログを収集し 予定されていない作業の有無を運用責任者がチェックするルールを導入し 週あたり 20 件ほどの作業の事後点検を行うこととしました A 社の課題 : 圧倒的なリソース不足 A 社ではこれらの取り組みにあたり 前述したように数名の増員は行ったもの IT の活用は見合わせました システム規模と取り組み内容からして 多大な投資は不要と判断したためです ところが組織を変更し 権限の分離のもとで運用を開始すると 人的なリソースが想定以上に不足する事態になり さらに 10 名ほどのリソースを追加する必要性があることが判明しました リソースの不足をまねいた要因は以下の通りでした 1 プログラム変更 リリース業務において 当初権限の分離により運用担当者の作業量が増加 一方で 運用担当者へ引き継ぐ作業手順などのドキュメントの作成工数が開発者の負担となり 開発 運用担当者を数名増員する必要が発生した 2 毎日発生する変更作業に合わせて一時的なアカウントの管理が煩雑であるため アカウント管理者を 1 名増員する必要が生じた 3 ログのチェック作業が想定以上に工数のかかるものであったため 日々 20 件の点検作業を行うため 数名の増員を行うことになった 現在 A 社では これ以上の人員増は大きな企業負担となってしまうため 人員を増加させずに必要な手立てが行える方策の検討に入りました Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 2

ケーススタディ 2 金融業 B 社 プロファイル B 社は従業員 5,000 名を有する金融業界の中堅企業です 情報システムは分社化した子会社によって開発 運用を行っており 子会社全体で 100 名 開発 運用部門は 80 名体制にて 600 台程度のサーバーで構成される親会社のシステムの開発と維持を任されています 法規制 新サービスの提供などでシステム変更頻度は高く 毎日 20 件 年間 4,000 件に及ぶ非定型的なシステム操作を実施しています 内部統制強化への取り組み B 社では JSOX 法の施行をきっかけに内部統制強化に向けた取り組みを計画 以下のような部分で IT の活用による対応を実施しました 1 変更 リリースに関する電子ワークフローシステムの導入従来の紙ベースの作業申請では効率的ではないと判断し 運用ルールに沿った承認ルールをデザインできるワークフローツールを導入 2 600 台のサーバーのアカウント作成や削除を集中管理するための ID 管理製品の導入原則として共有アカウントの利用を廃止 作業単位で必要なアカウントの発行を行う運用にしたが 手作業では多くの工数がかかるため 集中管理できる ID 管理製品を導入 3 操作内容やシステムへのログイン ログオフを集中管理するための統合ログ管理システムのログを個別に管理していると 点検作業が効率的に実施できないと判断 統合ログ管理製品を導入 上記システムの初期投資費用は ソフトウェア ハードウェアおよび設計 導入費用含め約 1 億円 システムの保守 運用費用は 年間約 2,000 万円となっています B 社の課題 B 社では 上記システムの導入を無事に終え JSOX 初年度の監査に臨みました IT 全般統制については 周到な準備と上記 IT の活用で万全と思われていましたが 実際には以下のような不備を指摘され 改善を行う必要があると判断が下されました 1 変更モジュールのリリースに関する承認履歴とアカウント発行履歴の矛盾一部のリリース作業において ワークフローシステムで承認された日時よりも前にアカウントが発行され作業を開始していたものがあり 承認に基づく作業 の原則という統制が必ずしも有効に機能していない この原因は緊急でモジュールの修正を行う必要が生じた際 承認者が不在の場合に未承認状態ではあったものの 事情を説明の上アカウントを発行してもらい 作業を実施したケースがいくつかあったが その例外処理の記録や事後承認が行われていない状態であった 2 作業開始時に発行されたアカウントの削除し忘れ作業用に発行されたアカウントの一部に削除し忘れのものがありリスク要因になるため 定期的な棚卸作業を行い 不要なアカウントの存在の有無を確認することで対処する必要があると指摘された 3 ログチェックによる評価の記録の不備統合ログによって作業内容の妥当性をチェックしていることは説明したが システム毎に取られるログの内容が異なり 作業内容の妥当性の説明に多くの時間を取られることになった 加えて誰がいつチェックを行い 問題がなかったかどうかといったチェックを行ったことの記録がないという点について指摘がなされた B 社はこれらの不備を修正するために 承認を得なければアカウント発行できない仕組み アカウント棚卸の定期的な実施 ログのチェックの実施を記録するための新たなデータベースの構築 を行う必要が生じました しかし それぞれ構成される IT ソリューションの連携インターフェイスが共通化されておらず 一部の連携等については人による手作業を行わざるを得ないことが判明し 根本的な課題解決に向けたアプローチを検討することになりました Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 3

弊社が提案する特権 ID 利用のためのシステム運用のあり方 A 社のケースでは IT の活用を行わず 運用ルールの変更を主体に 実際の運用はマニュアルで実施しようとしたことによる人的コストの増加 B 社のケースでは IT の活用がポイントソリューションであったため (1) 各ソリューション間のつなぎの部分に人が介在せざるを得ず その人の管理の不備が結果として 統制上のリスク要因となってしまった (2) 既存の仕組みを変えることなく対応しようとした結果 リスク管理レベルの統一に追加のコストが発生した例として紹介しました すなわち 体制面やシステム面での対応を施したにも関わらず結果として必要なレベルのリスク管理に到達していない状況にとどまっているといえます 弊社が様々なお客様との会話を通して学んだことは 多くの企業が同様の課題を抱えていることであり 弊社ではその根本解決に必要なものとして 特権 ID 利用のリスク対処の手続きである変更の申請 承認から実施結果の確認 レビューまでを統括的にサポートすることのできるソリューションである という結論に至りました このソリューションは 以下の要素で構成されている必要があります 1 組織と権限分掌をサポートする承認ワークフロー企業によって異なる組織と権限分掌の仕組みに対応し かつ 組織や環境が変化してもその変化に追従可能な柔軟性のある申請 承認基盤としてのワークフローシステム 2 アクセス管理の自動化ワークフローと連携し 承認済作業に応じて自動的に付与され 利用期限経過後に自動的に削除される ID 管理によるアクセスコントロール基盤 3 人による操作の確実な記録システム毎のログ内容のばらつきをなくすための操作記録の共通基盤 4 作業内容のチェックの自動化承認された作業内容と実際に行われた作業の突き合わせ予定外の作業の有無を自動的に発見する自動突合機能 ESS AutoAuditor は 特権 ID 利用のリスク対応に必要な上記 4 つの要素を統括し かつそれぞれの要素が有機的に連携することで人的要素の最小化し システム運用の統制自動化と効率化を実現するソリューションです 2 つのケーススタディでの期待される効果 前述したケーススタディで例として示しました製造業 A 社と金融業 B 社のケースで ESS AutoAuditor によってどのような解決策が導き出せるのかをお示しします A 社の場合 : ケース1 製造業 A 社においては 10 名程度の増員 ( 年間約 5,000 万円 ) を行うかわりに ESS AutoAuditor によるシステム運用の統制基盤を採用することにより 初年度の初期投資として一時的に 4,000 万円程度の投資が必要ではあるものの 人員増を行わずに必要な手だてが可能となることにより 結果として 1 年目に投資回収を実現しつつ 必要とされる作業内容のチェックを自動化することで 人に依存しない均一化された統制レベルを手に入れることができます 年間 5,000 万円を想定していた人的コスト増と比較し 初期費用 4,000 万円 運用費用年間 1,000 万円を計上しても 1 年目で投資回収が見込まれます 300,000 単位 : 千円人員増による対処 250,000 ESS AutoAuditorによる対処 200,000 150,000 100,000 50,000 0 1 年目 2 年目 3 年目 4 年目 5 年目 図 2. A 社における TCO 比較シミュレーション Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 4

B 社の場合 : ケース B 金融業 B 社については 今まで別々の IT ソリューションを導入しながらもプロセス間のつなぎで人が介在することによる統制上の課題があり これを解決するためには個々のシステムのカスタマイズで約 2,000 万円の投資が必要な状況 さらにこれら不備の修正に関わる監査対応 特にサンプリングによる監査には相当の負荷が生じています 現在導入しているワークフローや ID 管理製品など部分的なツールをつなぐために工数をかけるのではなく これらを置き換え統合的な機能連携が行える ESS AutoAuditor を新たに採用した場合 初期投資として約 5,000 万円が必要ではあるものの 現状利用している個々のソフトウェアをすべて置きかえることで保守費用を年間 1,000 万円程度に抑えることができるほか 250,000 単位 : 千円 200,000 現行ツールの追加カスタマイズ ESS AutoAuditorによる対処 150,000 100,000 50,000 0 1 年目 2 年目 3 年目 4 年目 5 年目 図 3. B 社における TCO 比較シミュレーション 監査にかかっていた人的費用 ( 年間約 30 人月 ) についても 統制の自動化によりサンプリングの手法を行う必要がなくなり トータルとして 40% 程度の TCO が削減できる想定になりました また同時に必要とされる統制レベルを獲得し システム操作に関わる成熟度の高い統制活動を維持 さらに向上させることが可能になります まとめ冒頭でご紹介した社団法人日本情報システム ユーザー協会の 2010 年に行われた IT 動向調査では 日本版 SOX 法対策に関する自己評価について聞いています その中で明らかになっているのは 今の統制の仕組みの有効性について評価している企業が 22% と低い一方で 残課題があり対策を講じる必要があると考えている企業もわずか 5% に過ぎないという結果になっています この回答結果は 内部統制の確立が企業価値の向上につながるという基本理念が実際にはそれほど浸透しておらず 特に IT 部門においては 最低限必要な手立ては行ったものの 効果を客観的に測定し 最終目標とのギャップを明確にしたうえで これからの改善に向けた計画がなされていない傾向であることを示唆させるものと言えます 弊社ではシステム運用における現状の課題についての具体的な声をもとに 改善のためのソリューションを提供する形でご支援を行っております 是非 貴社におかれましてもシステム運用の現状をお聞かせいただき コスト削減と効率化のお手伝いができればと考えています 2010 年 12 月 1 日発行 エンカレッジ テクノロジ株式会社 103-0007 東京都中央区日本橋浜町 3-3-2 トルナーレ日本橋浜町 7F URL : http://www.et-x.jp/ Phone : 03-5623-2622 Fax : 03-3660-5822 * 文中に記載されている会社名 商品 サービス名は それぞれ各社の商標または登録商標です Copyright 2002-2010 Encourage Technologies Co., Ltd. All Rights Reserved. 5

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック