− 第6回 −
ネットワーク管理者の適切な対応が求められる内部統制システムの構築
IT統制に不可欠なアプリケーションの運用管理やセキュリティ管理
ところで、内部統制の基本的要素の1つに「IT対応」があるのは、今日の企業経営や業務プロセスの遂行にITの利用が不可欠になっているからです。ITを利用した内部統制(IT統制)では、他の基本的要素の有効性を確保するためにITを活用するとともに、業務プロセスに組み込まれたITが、あらかじめ定めた方針や手続きに従って適切に機能しているかどうかを監視、評価する仕組みが重要になります。ここでいうITには、もちろんネットワークシステムも重要な要素として含まれます。
ネットワークシステムを利用して財務報告にかかわるデータを収集、処理する場合、連結子会社を含めた企業全体の情報システムが適切なプロセスになっていること、各業務で利用されるコンピュータなどのデータが適切に収集、処理され、財務報告に反映されるプロセスになっていることが求められます。
例えば、受発注や納品、支払いなどの業務プロセスと情報システムの整合性がきちんととれていなければどうでしょうか。経理部門で、支払時期や支払額のミスが生じる恐れがあります。また、セキュリティの不備により、権限外のユーザーがシステムへ不正アクセスして財務データを改ざんするリスクも皆無とはいえません。業務プロセスの適正化のためにもセキュリティ・ポリシーを再点検し、全社へのセキュリティ管理の徹底が不可欠になるのです。
IT統制を行うための仕組みには、全般統制と業務処理(アプリケーション)統制があります。全般統制とは、IT戦略の立案やシステムの開発・運用・管理、セキュリティの確保など、業務処理統制が有効に機能するための基盤となるものです。では、そこでネットワーク管理者に求められことはなんでしょうか。全社ネットワークシステムの開発方法や運用方法を再定義(規定)する。さらには、明文化したマニュアルやチェックリストを作成するなどして、開発プロセスや運用プロセスがそれに沿って実施されているかどうかを常に把握できる体制を整えることです。ネットワークシステムを拡張する際にも、プロセスに従うことで場当たり的な拡張を回避し、全社的なシステムの整合性を確保することが可能になります。また、業務処理統制は、統合基幹業務システム(ERP)やサプライチェーン・マネジメント(SCM)、業務ワークフローなど業務アプリケーションのデータ入出力やデータ処理の正確性や妥当性などを確保するための仕組みとなります。
ユーザーがデータを誤入力した場合、ユーザーのパソコン画面に警告を表示したり、あるいは管理者にアラートを通知する仕組みも必要です。リアルタイムに各種システムのデータの整合性をチェックし、ユーザーに入力ミスを通知するためには、システム基盤となるネットワークの信頼性やパフォーマンスの確保が欠かせません。これまでも業務の効率性などの観点からネットワーク管理の重要性は指摘されてきましたが、さらに内部統制の観点からネットワークの運用管理が要求されているのです。
IT統制では、セキュリティなどITの利用にかかわるリスクの分析や、情報システムと業務プロセスの整合性を明確化するとともに、継続的な監視、評価及び改善のためのモニタリングに対応する仕組みが重要になります。IT統制の整備から評価、改善策の提示まで、企業を支援するサービスやツールも各種提供されており、こうした外部の専門家の力を利用することも1つの方法といえそうです。
内部統制を契機にネットワーク管理の重要性を再認識
IT統制ではデータ入力や処理が正しく行われているかといったログの管理や、システムの利用にかかわるユーザー認証やアクセス権の管理などのセキュリティ管理が重要になります。また、ERPやSCMなどのシステムの安定稼働を保証するためには、ネットワーク管理が不可欠です。
例えば、一時的なシステムダウンであっても、内部統制でいう業務の有効性や効率性を損なうことになりかねません。自社の業務の停滞のみならず、さらにグループ会社や取引先などにも大きな影響を及ぼし、企業の信頼を失墜させる恐れもあります。こうした事態を未然に防ぎ、内部統制を有効に機能させるためにも、管理者はネットワーク管理・システム管理の重要性を再認識する必要があるのです。
ネットワークシステムの利用形態も高度化、複雑化しており、基幹系システム、情報系システムを含めたネットワーク管理が必要です。また、本社のみならず、管理者を配置しにくいリモートの小規模拠点や、連結対象となる子会社を含めた一元管理の仕組みも重要になります。ネットワーク管理では、ネットワークシステムの稼動状況を把握する性能管理や、機器やアプリケーションの構成管理、障害発生時の原因究明と迅速な復旧を行う障害管理などを基本とします。ネットワークのパフォーマンスやトラフィックの変化などをモニタリングすることで、障害を未然に防止することも可能です。これらはネットワーク管理の一例であり、ネットワーク管理者の業務は多岐にわたります。
IT統制を行うためには、現状のネットワークシステムの問題点を洗い出し、継続的に改善、評価する体制づくりが求められています。企業全体で内部統制を円滑に進めるためにも、ネットワーク管理者は内部統制システム構築のキーマンとなっているのです。
次のページ「ネットワーク・トリビア 」では、ネットワークに関する様々な雑学やトリビアネタを紹介します。さて、今回のトリビアは・・・?
