
【2024年 秋】郵便料金値上げによるコストの増加を回避するには?
お茶の間を騒がしているニュースなどを取り上げて、最近の動向や気になる問題を取り上げてブログを書いていきたいと思います。
今回は、相次いで発覚している、大手企業の不正で考えさせられた「システム監査の重要性」のお話です。
日本の技術は世界的に認められていて、「技術のニッポン」とうたわれるほどですよね。
中国の旅行者が日本の炊飯器をお土産で購入して帰るなんて話も聞いたことがありますし、価格はリーズナブルでかつ品質が良いと世界中の人が認めているのでしょう。
(ちょっと規模感が違う…?)
内閣府が展開している「2020年オリンピック・パラリンピック東京大会に向けた科学技術イノベーションの取組に関するタスクフォース」というものを見つけました。
2020年東京オリンピックを一層盛り上げるために、ITを駆使し、製造業の技術を使った観戦スタイルを提供し…という、今まで映画で見ていたような世界が広がるようです。
1964年東京オリンピック時も、日本IBMがオンラインシステムによって試合結果やスケジュール等をほぼリアルタイムにまとめて配信するなど、日本の技術は成長を遂げてきました。
恐らく2020年東京オリンピックでも、世界が驚く技術革新があることでしょう。
…話がテーマから逸れてしまいましたが、日本の技術力は世界で認められるレベルです。
しかし、最近名だたる日本企業の不正発覚のニュースが多く報道されており、「日本品質」が揺らぎかねない状況になってきています。
データ改ざんや品質チェックフローにおいての問題など、企業により様々です。
品質・生産性向上が求められ、重圧からこのような問題が引き起こってしまうのでしょうか。
今回のニュースにあるような国土交通省などの国家機関の立ち入り検査によって発覚するケースもありますが、監査から指摘があり、業務改善を促されるケースも存在します。
ニュースに取り上げられる程の問題になってしまうと、企業の信頼性に影響を及ぼすため、監査でいかに社内の問題を是正できるかが重要です。
監査の項目は多岐に渡りますが、その対象は「情報システム整備・運用管理・セキュリティ」にも及びます。
例えば、
などが挙げられます。
日本監査役協会のホームページにて、「監査実務チェックリスト研究会 報告書2017」というものを見つけました。
見てみると、新任監査役に向けた資料のようで、どのような監査項目をチェックすれば良いのか記載されています。
チェックリストの中に「情報セキュリティ」に関する項目があったので内容をのぞいてみると…。
など、上記以外にもまだまだ多くの項目が羅列されています。
これらの項目に対して、自社では問題がない事を証明するため、システム部門に証明を求める必要性があり、アクセス権管理がきちんとできているか、開発と運用が分かれているか、システムの変更管理・承認プロセスが守られているかなど、調査報告が必要になります。
アクセス権に関しては、監査対応時のみならず、日頃の業務で工数がかかるケースがありますよね。
昨今では、グローバル化や技術進歩によりシステムの利用が増えてきているため、ユーザ部門では大企業であればあるほど多くの社員のIDを、システム毎にID・パスワードを管理する必要があります。
新規入社する人にはID付与、退職者が出た場合は不正アクセスを防ぐためにIDの更新/削除をする必要があります。
特権IDの管理に対しては、誰がいつ申請し発行を受け、実際に作業実績があったかの予実管理を行う必要があります。
申請・発行があったにもかかわらず作業ログがないということは作業漏れ、申請・発行の履歴がないにもかかわらず作業ログがあるということは不正アクセスなどの恐れがあります。
また、システムに変更が加わった場合、いつ、誰が、何を、誰の承認の上、何を変更したのか、また依頼通りに変更され、リリースが漏れなくされたのか確認する必要もあります。
上記をもう少し具体的に説明すると、
変更依頼書、変更の承認記録、本番リリース申請書、稼働報告書など、各書類で残し、システムの変更履歴を残す必要があるということです。
この承認フローを紙で行っている企業は、監査の度に「証拠」を示すため、ファイルをひっくり返して確認する…なんてこともあるのではないでしょうか。
システム部門が監査対応の際に求められることは上記だけに限りませんが、いずれにしても、監査対応の度に「証拠の調査」で工数が割かれないよう、事前に情報を用意しておくに越したことはありませんね。
Rankingランキング
New arrival新着
Keywordキーワード