アビームコンサルティング
フェロー
徳田 弘昭

 経済的で、かつ実務に使えるIT統制の進め方を解説するのが、この連載の狙いです。前回から、ビジネス全体の統制を効率よく、かつ経済的に実施できるようにするための「ビジネスシステムの断絶を防ぐ6つの仕組み」を説明しています。6つの仕組みは以下の通りです。

(A)業務プロセス全体の可視化
(B)業務プロセスとアプリケーションの接続
(C)正確な稼働記録の獲得
(D)関連情報のDB化
(E)関連情報の自動獲得
(F)関連のトレースと表示

 前回は業務プロセスをアプリケーションに結びつける考え方と手段として、(A)業務プロセス全体の可視化、と(B)業務とアプリケーションの接続を取り上げました。今回は、「稼働情報の記録」を保持するために必要となる仕組みである(C)正確な稼働記録の獲得、と、(D)関連情報のDB(データベース)化を説明します。

 本連載の第1回「『統制サイクルの不備』がトラブルの根源」で説明したように、 IT統制をはじめとする統制の活動を進めるためには、管理モデルを設定したうえで、管理モデルに従った形で統制サイクルを確立する必要があります。管理モデルとは、統制サイクルを実行する際の基本となる経営やITにかかわる情報項目や、その関係を表したものです。統制サイクルは、実績記録の獲得、差異の分析、改善の実施といった作業で構成されます。

 内部統制の観点では、管理モデルは内部統制の構造を、実績記録は業務実施ログをそれぞれ表します。(C)正確な稼働記録の獲得は後者を正確に実施するための仕組み、(D)関連情報のDB化は前者の確立に必要な仕組みと見なせるでしょう。

正確な稼働記録の獲得

 IT統制サイクルを円滑に進めるには、情報システム全体の振る舞いを的確に把握し、正確な稼働記録を獲得する必要があります。ここで問題なのは、ログが分散していることです(図1)。

図1●ログが分散している状態
図1●ログが分散している状態

 情報システムは、アプリケーション・ソフトウエアやデータベースといったソフトウエアやハードウエアなどの“部品”で構成されています。通常はそれぞれの部品ごとに、自らの稼働状況を管理・監視する独自のログ獲得の仕組みを備えています。順に見ていきましょう。

業務プロセスとアプリケーションの稼働記録

 業務プロセスとアプリケーションの稼働状況を把握するために必要なのが、アプリケーション・ソフトウエアのログです。この情報は、前回説明した(A)業務プロセス全体の可視化と(B)業務とアプリケーションの接続の考え方を使って獲得できます。

 稼働記録は、図2のようになります。

図2●業務プロセスとアプリケーションの稼働記録
[画像のクリックで拡大表示]

 例えば、「2009年3月12日の14時39分03秒」に「39769」というユーザーが「財務-資産運用第一部」の権限により、「ファンド管理、マスター登録、定期処理」という業務を実施し、その中でプログラム「/LTD/UniManage/UserMaster_ProcessEdit.aspx」を起動させたことを記録しています。 

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら