見出し画像
Photo by m_gori

IT統制への対応でよく陥る落とし穴

エッグシステム

コンサルティングエンジニア(コンサル兼エンジニア)の人材シェアリングにより、上場準備企業向けにIT統制の構築・整備の支援をしている、エッグシステムの高橋です。

今回はIT統制への対応で、あまり経験のない人が陥る失敗について解説します。

結論から言うと、効率性が考慮されず安全面だけカバーした規程やルールが出来上がってしまい、情報システム部門や総務部門への運用負荷が高くなってしまうので、IT統制の知見をもった人材や外部の支援を活用することがオススメです、という話しです。

IT統制対応の経験がないとどうなるか?

ショートレビューやシステム監査を行うと、監査法人から「こういう点が整備されていないので改善すべきです」という指摘を受けます。

特にショートレビューの時点ではIT統制の環境を整備できていない会社が多いと思いますので、指摘後の対応が大変です。

IT統制に限らない話しですが、上場準備の経験やIT統制整備の経験がないと、監査法人から指摘されたとおりに対応したり、証券会社やネット上から入手した規程をそのまま使ったりしてしまいます。

もちろん、そのまま流用すること自体が悪いわけではありません。悪くはないですが、その会社にとってベストな対応かと言われるとそうではないケースが多いと思います。

なぜかと言うと、提供される規程や運用手順書では安全性の比重が高く、効率性がそれほど重視されていないことがあるためです。

安全性を重視し過ぎると危険

考えてみるとこれは当たり前で・・・IT統制において安全性を担保することが最低条件なので「一部、効率性を重視したので監査を通るかどうかは微妙です」という内容の規程や手順書を証券会社などが提供することはないと思います。

「これを参考にすれば基本的には問題ありません。ただし内容は自社向けにカスタマイズしてください」と言われるハズです。

しかし、IT統制なのだから安全性を重視するのが自然で、なぜそれが危険なのか?という疑問もあると思います。

これは単純な話しでして、安全性と効率性はトレードオフの関係にあり、安全性ばかりを重視すると運用負荷の高いルールができあがり、現場が疲弊するからです。

運用負荷が高く、現場が疲弊した結果どうなるかと言うと、現場では抜け道を探して運用したり、定められた運用やルールを守らなくなってしまいます。これでは本末転倒です。

なので、安全性と効率性のバランスを取ることがとても重要です。

情報システム部門が手厚い会社と、エンジニアがおらず総務部が情シス業務を担っている会社では対応できるレベルに差があるので、自社にとって最適なバランスを取っていかなければいけません。

具体的に気をつけるポイント

どこまで効率性を取るべきかは会社によって異なります。とは言え、共通するポイントもありますので、具体的に気をつけるべきポイントを一部ご紹介します。

①統制対象のシステムを定義しているか

社内で運用する全てのシステムに対して、同じレベルで統制を図る必要はありません。なぜなら、内部統制では、財務情報に影響を及ぼす業務プロセスやシステムが対象になるからです。

そのため、財務情報に影響を及ぼすシステムを対象として、それ以外のシステムについてはIT統制のルールを推奨事項として定義すると、運用負荷を下げることができます。

ただし、個人情報保護やセキュリティリスクの観点から、財務情報には関係なくとも、個人情報を取り扱うシステムは、厳しめに統制やルールを整備した方が安心です。

②クラウドサービスの導入が考慮されているか

古い規程フォーマットをそのまま使うと、クラウドサービスについて考慮されていない記述になっていることがあります。

クラウドサービスの導入が増えてきたのはここ数年の話しで、それ以前はスクラッチ開発が当たり前だったからです。

スクラッチ開発を前提にした規程では、開発プロセスが手厚い内容になっています。例えば、要件定義・設計・開発・単体テスト・結合テスト…というプロセスを行うことや、設計プロセスではセキュリティを考慮する、といった内容です。

一方、クラウドサービスを導入する場合は、開発作業が発生せず、大まかに言うと「初期設定→運用テスト→利用開始」というプロセスになります。スクラッチ開発よりも圧倒的にプロセスが少ないので、統制すべき内容も少なくて済みます。

③棚卸や内部監査の実施頻度が適切か

アカウントの棚卸や内部監査の実施頻度は、多くても半期に1回、通常は年に1回程度であれば問題ないと考えられます。
(よほど統制環境が整っておらず、社内への教育を兼ねて3ヶ月に1回にする、というケースもありますが…)

頻度が高い方が安全性のレベルは上がりますが、運用負荷は高くなります。

頻度については、まさに安全性と効率性のバランスを取って、自社にとって最適な頻度にする必要があります。


IT統制は安全性と効率性のバランスが重要で、提供された規程や運用手順書をそのまま使うと運用負荷が高くなってしまう、という内容をご紹介しました。

気をつけるべきポイントはまだ一部しかご紹介できていないので、また今後書こうと思います。

この記事が気に入ったらサポートをしてみませんか?