IBIS Internationalロゴ

解説: 富士通メインフレームGS/PFの内部統制


ホーム コンサルティング&サービス 会社概要 お問合せ 技術情報 内部統制 サイト情報 用語辞典 ライブラリ

 監査人の方へ 「IT統制のための富士通メインフレームの基礎」の連載をはじめました。 (※ユーザ限定です)

 富士通のメインフレーム(GS21,GS,PRIMEFORCE、以下GS/PFと略す)での内部統制、特にIT全般統制の構築手法について、弊社はメーカより先行して
具体的な検討を行ってきました。
 この作業を通し、GS/PFはセキュリティが確保されていると勘違いしている人、そう信じたがっている人(様々な利害関係による)がたくさんいることがわかりました。
 内部統制に関わる皆さんには、多くのGS/PFは、セキュリティレス・統制レスで運用されている事実(これが標準だった)を認識して頂く必要があります。
 そして、実際にお客様のシステムの現状を把握して、どこに大きなリスクがあるのか分析して頂くことが重要です。

 金融庁の実施基準より
 【内部統制の目的】
  業務の有効性及び効率性    ・・・ 事業活動の目標達成のため、業務の有効性及び効率性を高めること
  財務報告の信頼性         ・・・ 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
  事業活動に関わる法令等の遵守 ・・・ 事業活動に関わる法令その他の規範の遵守を促進すること
  資産の保全             ・・・ 資産の取得、使用及び処分が正当な手続及び承認の下に行われるよう、資産の保全を図ること

 【基本的要素】
  統制環境        ・・・ 組織の気風を決定し、組織内のすべての者の統制に対する意識に影響を与えるとともに、他の基本的要素の基礎をなし、
                   リスクの評価と対応、統制活動、モニタリング及びITへの対応に影響を及ぼす基盤
  リスクの評価と対応   ・・・ 組織の目標達成に影響を与える事象について、組織目標の達成を阻害する要因をリスクとして識別、分析及び評価し、
                   当該リスクへの適切な対応を行う一連のプロセス
  統制活動        ・・・ 経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続
  情報と伝達       ・・・ 必要な情報が識別、把握及び処理され、組織内外及び関係者相互に正しく伝えられることを確保すること
  モニタリング        ・・・ 内部統制が有効に機能していることを連続的に評価するプロセス
  ITへの対応       ・・・ 組織目標を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のITに対し
                   適切に対応すること


第1部 IT全般統制(ITGC)とは
第2部 富士通メインフレームGS/PFのIT全般統制(ITGC)支援機能
第3部 GS/PFで目指すIT全般統制(ITGC)とは
第4部 GS/PFでのIT全般統制(ITGC)構築における問題


第1部 IT全般統制(ITGC)とは

● (1)  IT全般統制(ITGC)とは
 まず最初に、金融庁の実施基準のP.73、4.(2)Aロ.ITに係わる全般統制の評価の検討、を転記します。
 基準・規約はありますか、プロセスは文書化されていますか、適切に実施していますか、証跡を採っていますか。

 監査人は、ITに係る全般統制について理解し、経営者の評価の妥当性を検討しなければならない。その際、例えば、以下の項目を検討する。
 a. システムの開発、変更・保守
   監査人は、企業が財務報告に関連して、新たにシステム、ソフトウェアを開発、調達又は変更する場合、承認及び導入前の試験が適切に行われているか
  確認する。その際、監査人は、例えば、以下の点に留意する。
  ・システム、ソフトウェアの開発、調達又は変更について、事前に経営者又は適切な管理者に所定の承認を得ていること
  ・開発目的に適合した適切な開発手法がシステム、ソフトウェアの開発、調達又は変更に際して、適用されていること
  ・新たなシステム、ソフトウェアの導入に当たり十分な試験が行われ、その結果が該当システム、ソフトウェアを利用する部門の適切な管理者及びIT部門の
  適切な管理者により承認されていること
  ・新たなシステム、ソフトウェアの開発、調達又は変更について、その過程が適切に記録及び保存されるとともに、変更の場合には、変更前のシステム、
  ソフトウェアに関する内部統制の整備状況に係る記録が更新されていること
  ・新たなシステム、ソフトウェアを保管又は移行する場合に、誤謬、不正等を防止する対策が取られていること
  ・新たなシステム、ソフトウェアを利用するに当たって、利用者たる従業員が適切な計画に基づき、教育研修を受けているKと
 b. システムの運用・管理
   監査人は、財務報告に係るシステムの運用・管理の有効性を確認する。その際、例えば、以下の点に留意する。
  ・システムを構成する重要なデータやソフトウェアについて、障害や故障等によるデータの消失に備え、その内容を保存し、迅速な復旧を図るための対策が
  取られていること
  ・システム、ソフトウェアに障害や故障が発生した場合、障害や故障等の状況の把握、分析、解決等の対応が適切に行われていること
 c. システムの安全性の確保
   監査人は、企業がデータ、システム、ソフトウェア等の不正使用、改竄、破壊等を防止するために、財務報告に係る内部統制に関連するシステム、
  ソフトウェア等について、適切なアクセス管理等の方針を定めているか確認する。
 d. 外部委託に関する契約の管理
   企業が財務報告に関連して、ITに係る業務を外部委託している場合、監査人は、企業が適切に外部委託に関する契約の管理を行っているか検討する。

 GS/PFでのポイントは、本番環境と開発環境の分離、オペレーション管理、セキュリティ管理となります。
 特に、監査人は、開発者が本番系の資産にアクセスできることを嫌うようです。(悪意があれば容易にデータを改竄できてしまうため。)
 IT全般統制を軽く見る人もいますが、問題が発覚すればIT業務処理統制に関するテスト項目が増え、お客様の監査対応負荷が増大します。

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部


● (2)  IT全般統制(ITGC)とは (その2)
 金融商品取引法(通称日本版SOX法)では、財務報告の信頼性が求められています。
 対象システムは限定され、厳格なセキュリティ管理が要求される訳でもありません。この辺りは、企業(経営者)主導で、監査人と調整していきます。
 内部統制 >> 日本版SOX法の内部統制  運用管理標準(ITILなど) ⊃ 内部統制  セキュリティ管理 ⊃ 内部統制 となります。

 ITに係る全般統制をブレークダウンするために、経済産業省のシステム管理基準から項目を抜粋します。
T.情報戦略
 1. 全体最適化
 2. 組織体制
 3. 情報化投資
 4. 情報資産管理の方針
 5. 事業継続計画
 6. コンプライアンス		 U.企画業務
 1. 開発計画
 2. 分析
 3. 調達		 V.開発業務
 1. 開発手順
 2. システム設計
 3. プログラム設計
 4. プログラミング
 5. システムテスト・
  ユーザ受入れテスト
 6. 移行		 W.運用業務
 1. 運用管理ルール
 2. 運用管理
 3. 入力管理
 4. データ管理
 5. 出力管理
 6. ソフトウェア管理
 7. ハードウェア管理
 8. ネットワーク管理
 9. 構成管理
10. 建物・関連設備管理
(XX. 情報セキュリティ)		 X.保守業務
 1. 保守手順
 2. 保守計画
 3. 保守の実施
 4. 保守の確認
 5. 移行
 6. 情報システムの廃棄		 Y.共通業務
 1. ドキュメント管理
 2. 進捗管理
 3. 品質管理
 4. 人的資源管理
 5. 委託・受託
 6. 変更管理
 7. 災害対策
(全社統制) 開発、変更・保守 開発、変更・保守 開発、変更・保守
運用・管理
安全性の確保		 開発、変更・保守
運用・管理		 (共通)

 基本的なプロセスはGS/PFもオープンサーバも同じだと思います。ドキュメントはあるか、GS/PF上で適切に運用しているか、証跡は採っているか、
 その延長で、GS/PF独自のプロセスを整理していくことが必要です。
 (ドキュメントがない、メンテナンスされていないことは多々あり・・・統制レス、 ID管理、アクセス管理など何もないこと多々あり・・・セキュリティレス)
 どこまでやるかはお客様の状況によって変わってきます。現状を正確に把握し、リスクを洗い出し、適切な統制をかけることが重要です。

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部


● (3)  監査人の視点
 経験上、技術屋の視点と監査人の視点は大きく異なります。技術屋は、こんなことどうでもいいじゃん、ってことを監査人が指摘するのでとても違和感があります。
 監査人はIT統制の細部に関わっている暇はないのでしょう。おまけにメインフレームなんてわかる訳がない。よって、監査人からあーだ、こーだ、指摘を受けないよう、
またおかしな指摘は跳ね返せるよう準備が必要です。監査人の視点を知るため日本公認会計士協会IT委員会報告第3号から項目を抜粋します。

 ITの概括的理解
  ...次の事項に留意し、経営やは情報システム部門の管理者等とのコミュニケーションを通じてまず企業のIT利用に関する環境を理解し、重要な虚偽表示
    リスクの評価の対象とするITを把握することとなる。 ...内部統制の理解の一貫として実施しなければならない手続である。
  (1) ITインフラの概要 〜 ハードウェア構成、基本ソフトウェア構成、ネットワーク構成
  (2) アプリケーション・システム構成
  (3) 電子商取引の利用
  (4) 情報システムの変更
  (5) 情報システムの安定度
  (6) アウトソーシング(外部委託)の利用状況
  (7) アライアンス(業務提携)の状況

 統制環境の理解
  監査人は、情報システムに関するITの概括的理解に加えて、次の点に留意してITに関する統制環境を十分に理解する。
  (1) 経営者の関心、考え方及び理念
  (2) 知的資産
  (3) 経営者の管理すべき範囲(スコープ)
  (4) ネットワークの利用
  (5) 法令等の準拠性
  (6) ITの発達に伴う社会の基本的なインフラの変化
  (7) アウトソーシングのサービスレベル
  (8) ITに関する教育

 統制活動の理解
  全般統制の例示と評価上の留意点
  ・情報システムに関する企画・開発・調達業務の統制活動
  ・情報システムに関する運用・管理業務の統制活動
  ・セキュリティに関する統制活動
  ・アウトソーシングの統制活動

 ITに着目すると、サーバ(メインフレームを含む)から端末までですから、大変といえば大変でしょう。
 IT全般統制はIT業務処理統制の基盤となるものなので、開発環境に最初に目が行きます。
 即ち、第三者を説得できるように運用環境と開発環境が整備・運用できていないと突っ込みが入ります。

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部


● (4)  IT全般統制(ITGC)と情報セキュリティの関係
 IT全般統制(ITGC)にとって情報セキュリティ管理は重要な一項目ですが、それが全てでないかとをご理解いただけたかと思います。
 日本版SOX法対応となれば、さらに関係は薄くなります。リスクは発生可能性×影響度で考えます。日本版SOX法の観点で重要なのは会計データの
信頼性ですから、データを参照されるだけでは影響度は余り大きくありません。セキュリティ上では問題がありますが。

 セキュリティ管理を整理するために、経済産業省のセキュリティ管理基準から項目を抜粋します。

 1. セキュリティ基本方針
 2. 組織のセキュリティ
 3. 資産の分類及び管理
 4. 人的セキュリティ
 5. 物理的及び環境的セキュリティ
 6. 通信及び運用管理
 7. アクセス制御
 8. システムの開発及び保守
 9. 事業継続管理
10. 適合性

 監査証跡って単語は10箇所出てきます。
  5.1.2.9 (セキュリティの保たれて領域への)すべてのアクセスの監査証跡は、安全に保管しておくこと
  6.1.3.7 通常の障害対策計画手順には、監査証跡及びこれに類する証拠の収集を含めること
  6.1.3.10 内部問題の分析のために、監査証跡及びこれに類する証拠を収集し、安全に保管すること
  6.1.3.11 潜在的な契約違反若しくは規制要求事項への違反に関連した証拠、又は、民事若しくは刑事訴訟(例えば、コンピュータの誤用又はデー
   タ保護に関連して制定された法律に基づいたもの)での証拠として使用するために、監査証跡及びこれに類する証拠を収集し、安全に保管すること
  6.1.3.12 ソフトウェア及びサービスの提供者との補償交渉のために、監査証跡及びこれに類する証拠を収集し、安全に保管すること
  6.1.4.1 職務の分離が困難であれば、活動の監視、監査証跡及び経営者による監督といった他の管理策を考慮すること
  6.6.1.3 組織の管理外となる媒体の認可について、監査証跡維持のための記録を保管すること
  6.6.2.5 取扱いに慎重を要する媒体類の処分は、監査証跡を維持するために、可能な方法で記録すること
  8.4.2.7 (試験データを)試験目的で使用する場合は、運用情報の複製及び使用は、監査証跡とするために、記録すること
  8.5.1.15 業務用ソフトウェア及び運用の変更過程では、すべての変更要求の監査証跡を維持管理すること

 参考までに情報セキュリティの主たる3要素をISMSでは以下のように定義しています。
  機密性(confidentiality)
   認可されていない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性。
  完全性(integrity)
   資産の正確さ及び完全さを保護する特性。
  可用性(availablity)
   認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

 日本版SOX法のIT全般統制と情報セキュリティは、@対象とする業務範囲、A想定するリスク(要素)、B管理領域、が異なります。

 今運用しているGS/PFシステムではRACFを使っていなくてもたくさんの監査証跡を収集・保管しています。
 これらの情報を適切に分析するとシステムに潜在しているリスクが見えてきて、IT全般統制の構築に大きく役立ちます。
 逆に、せっかくRACFを導入していても、職務分掌ができていないシステムも実際にあります。
                                                                      (2007年4月15日、4月25日修正)

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部


● (5)  リスクとは何か
 なにげなく使っいる「リスク」について考えてみましょう。
 金融庁の実施基準で、リスクとは「組織目標の達成を阻害する要因」と定義し、評価と対応のプロセスを以下のように例示しています。

 1. リスクの識別
   ...組織目標の達成に影響を与える可能性のある事象を把握し、そのうちにどのようなリスクがあるのかを特定する。
 2. リスクの分類
   ...識別したリスクを、全社的なリスクか業務プロセスのリスクか、過去に生じたリスクか未経験のリスクか等の観点から分類することが重要である。
 3. リスクの分析と評価
   ...当該リスクが生じる可能性及びリスクがもたらす影響の大きさを分析し、当該リスクの重要性を見積もることとなる。
   ...識別・分類したリスクのすべてに対応策を講じるのではなく、重要性があるものについて対応策を講じることになる。
 4. リスクへの対応
   ...評価されたリスクについて、その回避、低減、移転または受容等、適切な対応を選択する。
     回避...リスクの原因となる活動を見合わせ、または中止すること
     低減...リスクの発生可能性や影響を低くするため、新たな内部統制を設けるなどの対応を取ること
     移転...リスクの全部または一部を組織の外部に転嫁すること
     受容...リスクの発生可能性や影響に変化を及ぼすような対応をとらないこと、つまり、リスク受け入れるという決定を行うこと

 リスクの評価にはリスクマップ(発生可能性×影響度)を活用します。リスクへの対応(リスクを減少させるための対応)には、残存リスクがあることを認識する
ことが重要です。その後、残存リスクの評価とフィードバックが必要となりあります。
 突然リスクを洗い出せと言われても、今まで見えていなかったものを網羅的に認識するのは簡単にできるものではありません。メインフレームGS/PFに限定すると
共通のリスクが存在していますし、現状分析をすることでシステム固有のリスクも驚くほど見えてきます。
 今も知らないジョブがデータベースをアクセスしていることがリスクですし、下手にRACFを使ったリスクを高める可能性だってあります。

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部


● (6)  前提であるIT全社的統制
 IT全般統制の細かい話しをしましたが、どんなにIT部門が頑張っても、経営者のITの意識が低ければ内部統制は十分に機能しません。
 ITに関する全社的な方針、手続等を明確にすることは、IT統制が効果的に機能する基本となります。 ・・・ IT全社的統制
 IT全社統制は、「企業集団全体を対象としたITに係わる内部統制のことであり、企業集団全体のITを健全に維持、監督するために構築するもの」と定義されています。

     【IT統制】
    IT全社的統制
       ↓
    IT業務処理統制  (IT業務プロセス統制、ITアプリケーション統制ともいう)
       ↑
    IT全般統制

 経済産業省のシステム管理基準(追補版)では、IT全社的統制の評価における留意点の例を示しています。

  @経営者が内部統制を支えるITの重要性について認識しているか
     これが全社的統制のベースとなる。
  A経営者が財務情報に係るITの信頼性について、リスクの評価と対応を検討しているか
     リスクへの対応方針が、全社的な方針、規程となる
  B経営者が財務情報に係るITの整備・運用に係る予算を承認しているか
     適切な整備・運用のためには、ヒト、モノ、カネの経営資源が必要であり、この承認がないと整備・運用は不可能である。
  C財務情報に係るITの整備・運用の状況につき経営者が適宜報告を受け、改善が行われる仕組みがあるか
     情報と伝達及びモニタリングによってPDCAサイクルが確立される。
  DIT統制に係る記録の採取と保存に関する規程や体制が存在するか
     これがないと後日、経営者による評価や監査人による監査に支障をきたすことがある。

 IT全社的統制は、企業におけるIT統制の憲法です。ITだからといって丸投げせず、経営トップが魂を込めて整備し運用することが大事です。
 よくわからないからといって、GS/PFだけ対象外にすることは許されません。

 ご意見・ご質問等は 専用フォーム からお願いします。

<< ホームへ 第1部 第2部 第3部 第4部

2007年4月作成、2008年2月更新
株式会社アイビスインターナショナル
代表取締役 有賀 光浩
株式会社 アイビスインターナショナル株式会社 アイビスインターナショナル 134-0003 東京都江戸川区春江町4-17-12
All rights reserved, Copyright (c) IBIS International Inc. 2005-2015