内部統制になぜITの利用が必要なのか?
来年からJ-SOX法による運用がスタートするけれども、J-SOX法の本になっているCOSOのモデルになぜITの利用が含まれているのだろうか?
SIerからみればなんでもIT利用してもらった方が儲かるわけだから歓迎すべきだけど、理由を分かってないともちろんどこに重点を置いてシステムを提案すべきかが分からなくなってしまう。
内部統制の重要なキーは会社の規定に基づいて正しく運用されていることを証明できること。そのためには、たとえば承認しなければならない人がきちんと承認していること(承認者でない人が承認できないこと)を証明しなければならない。
アナログ運用だとその確からしさを継続的に保証することができないのでそこでシステム運用が必要になる。システムでそれが保証できるのであれば、バグが残っていたりシステム改修をしない限りはその確からしさが継続的に保証される。
だからこそITの利用でもってその証明にかかる負担を少しでも減らすべきだといっているわけだ。
もちろんシステム化するからこそ、管理者というものが存在することになり、管理者による改竄は発生することになる。それこそログは別サーバーで管理し、そのサーバーが全く別の管理者で管理され、改竄されてないことを証明しなければならないが、その管理者同士が結託すればそれもできなくなる。
根底にある難しさはやはり運用している人間自身にあると言える。オチは結局そういうことです。