前向きに内部統制に取り組むために

【第1回】「シスドック」の活用例のご紹介

IT部門は、「最近はつまらない部門になった」との話をよく耳にします。

1.個人情報保護やJsox対応等の外圧対応で従来とは違う面白みが少ない分野での業務が増えた
2.新規の開発案件がほとんどなく、主たる業務が運用と保守になってしまった
3.経済状況の悪化でIT投資が絞られ、経費節減のみが業務課題の状況だ

こんな話が多いのが実態です。
そんな状況の中でJsox対応、IT全般統制の業務が開始されましたので、IT部門のなかでは、「やらされ感」が増殖しているのが実態ではないでしょうか??人が少なく経費も抑えられた状況で、業務が増えることや業務手順の承認が必要となることへの抵抗が、IT部門の現場でおきています。また、規程類や業務フローの整備も手間と根気のいる仕事で、実際の業務実態との整合性確認も含めて、多大な労力がかかる業務となっています。そのような状況化で多くの企業の実態は、対応自体が中途半端な状況でお茶を濁してしまっているのです。

そんな中で、Jsox対応、IT全般統制を「IT部門の業務カイゼンのチャンス」と逆に位置付けて、「前向き」な姿勢で活動中のA社の事例を紹介いたします。

A社は、家庭用品の製造販売メーカーで、決算期が1月から12月であった関係もあり、2009年1月より、Jsox対応、IT全般統制対応を開始しました。取組むにあたり、以下の4つの目標を立てました。


1.2007年、2008年実施の監査法人による財務諸表監査の一環として実施されたIT全般統制整備評価での指摘事項への対応を優先的に実施(数項目の指摘があり)
2.ISMSリスク対応計画に基づく対応を実施(ISMSはすでに取得済みの状態)
3.ISMS外部審査での指摘事項への対応を実施
4.全体的に本番環境へのアクセスを優先度の高い統制対象と位置付け変更管理、アクセス管理を重点的に是正

実施にあたりましては、「シスドック」を活用し、部課長3名とシスドックアドバイザーとして私が加わった体制で、2008年1月よりプロジェクトを発足しました。実施方法は、従来からの運用にしばられることを排除し、あるべき姿をまずは考えることを前提に


1.リスクコントロールマトリックス、業務フローの作成
2.規程・細則・マニュアル類の整備
3.証跡となる関連ドキュメントの整備
4.運用管理システムの構築(開発変更進捗管理、本番登録履歴管理、問合せ障害管理、証跡ログ管理等)

を実施しました。
2008年10月には、一部を残し整備・構築が完了し、全般的な試行運用を開始し、問題点の是正をはかり、2009 年1月よりの本番を迎えました。

全体的な方針として、

1.早め早めに試行運用をすることによって、机上では気がつかなかった問題点を明確化すること
2.継続的な運用可能な統制を構築する
3.Jsox対応、IT全般統制対応を部門の業務カイゼンとして位置付けて「前向き」に対応する
の項目を定め活動を実施、継続しています。

次回より、「前向きな規程・細則・基準」の実施手順と実施内容、実施のポイントを紹介いたします。詳細の内容は、
step.1 IT全般統制の評価単位を自社の管理手順の視点で明確化
step.2 IT関連ドキュメント(規程・細則・基準)の整備
step.3 システム開発・保守作業のルール化
step.4 システム運用・管理作業のルール化
step.5 アクセス制御のルール化
step.6 各種証跡の収集と検証のルール化
step.7 インシデント管理、障害管理による部門課題の可視化
step.8 After-Jsox対応(Jsox対応、IT全般統制対応のPDCAサイクル実践)
で、「前向きな内部統制」をどのように構築したかを実感していただく予定です。

連載一覧

コメント

筆者紹介

バックナンバー