ITIL
企業活動における不正行為は、経営の根幹を揺るがす重大なトラブルや問題になりかねません。
このような不正を感知し、防止するために重要な役割をしているのが「監査証跡」です。
監査証跡はシステムや業務の操作履歴などを記録し、不正の有無を判断するときの証拠になります。
ですが「監査対応を効果的に行う方法は?」「管理のポイントはないの?」といった疑問を持つこともあるのではないでしょうか。
今回の記事では企業が公正で円滑に活動を行っていくために、取り扱うデータを「監査証跡」として的確に残し、内部で行うことができる対策について解説します。
企業の経営は健全性を証明するために、証拠の記録、保管が重要です。
近年でのテレワークの普及により、スマートフォンやパソコンなどの端末を社外へ持ち出したり、自宅など企業からは見えない場所での業務や活動が増えたため、適正に行われているのか把握しにくくなっています。
そのため、記録を保管するだけでなく、しっかりと管理することが求められているのです。
証跡はそのために重要な役割を果たします。
ここでは証跡の説明と、証跡と証憑の違いについて説明します。
まず証跡(しょうせき)とは、広い意味では「証拠となる痕跡」のことです。
ビジネスにおける証跡は、業務のプロセスや従業員の行動、ITシステムによる処理などが、あらかじめ決められたルールや法令を守っているかどうかを客観的に示すための記録になります。
主にスマートフォンやパソコンなどの端末で利用し、システム上で行った操作の履歴記録が証跡です。
企業活動における不正、トラブルを防止し、組織内外に運営や経営の健全性を示すためには、証跡を残すこと、証跡を適切に管理することが重要です。
特に上場企業は「内部統制報告書」の提出が義務付けられています。
内部統制報告書とは、経営者の整備した内部統制が有効であることを確認し、その結果を外部に公開します。
内部統制の有効性を確認するためには、内部統制の準備と客観的な記録が必要です。
そのためには、適正に管理できる仕組みを整備し、常に記録が管理できているようにすることが重要になります。
証跡と似た用語に証憑(しょうひょう)というものがあります。
証憑は取引の成立を証明する書類を指し、資金など金銭に関わる書類だけでなく、人事や労務に関する一部書類も該当するのです。
| 証跡 | 証憑 |
| 業務全般の適切性を証明するための記録 | 主に会計分野の取引に関係する記録 |
このような違いがありますが、証憑は主に会計分野を指す言葉で、業務全般の適切性を記録している証跡の一部であると言えます。
証跡管理とは、システムで証跡を集め、必要に応じて情報を引き出し、参照できるようにしておくことです。
不正の防止や検知だけでなく、情報資産を管理し、監査証跡として活用することもできます。
証跡管理は業務の効率性、財務報告の正確性、法令の尊寿、企業資産の保全などのために必要です。
企業の機密情報が不正に流出しないように管理し、法令を守って業務ができているかの把握をするためにも重要です。
ここでは証跡管理を行う主な目的を3点説明します。
個人または組織で不正が行われていた場合、企業として早急に気づける体制づくりを可能にするのが証跡管理です。
具体的には従業員の行動、業務上の処理などにおいて、本来のプロセスやルールと異なる動きが見られる場合に、不正を検知できます。
特定できることは下記です。
特定できることで原因の追求もできるため、社内の不正を検知し、不正の抑止効果も期待できます。
個人やチーム、組織での不正は、企業経営に重要な損失や影響を与えるため、このような不正防止、検知システムが正常に働く体制を作っておく必要性が重要です。
企業がもつ様々な情報資産には下記が挙げられます。
ITシステムが普及した今、不正アクセスによる情報漏洩が起こりやすい状態です。
企業として情報管理の信頼性を高めることが求められています。
証跡管理を行うことで、情報資産へのアクセス履歴、記録をたどることが可能です。
それにより、もし社内で不正なアクセスや誤操作が検知されても、大きなトラブルになる前に手を打つことができます。
インシデントを未然に防ぎ、万一インシデントが起きてしまっても、原因の追求や対応策を考えることが可能です。
証跡を時系列に沿って記録、保管しているものが監査証跡です。
適切な経営や業務の流れ、プロセスが実施されているか、また不正な操作が行われていないかなどを証明するために重要です。
監査証跡は常に時系列で参照できるように、管理されているものです。
そのため、監査証跡は業務の流れや操作履歴を時系列で追えるため、適切性や正確性の証明に用いることができます。
各種処理を時系列に記録する
統合管理運用ツールは、企業にとってもはや避けて通れない要件となっている内部統制監査を行う際にも威力を発揮します。特に作業の実績をチェックする際に重視されるのが監査証跡です。監査証跡は監査トレイル、オーディットトレイルとも呼ばれます。
一般的には、利用者が行った操作や情報システムが行った処理内容、処理対象や処理過程のデータなどをそのまま時系列に記録したデータのことを監査証跡と言います。監査人は情報システム監査において処理が適切に実行されたかどうかを確認しますが、その際に閲覧されるデータが監査証跡です。内容的には一般的なログとほぼ同じものですが、特殊なアクセス権が設定されたファイルに保存されるようになっているケースもあり、その場合は監査人以外は編集や削除ができません。これはシステム管理者であっても同様です。
実際に統合運用管理ツールを選ぶ場合は、システム変更やサーバー操作・クライアント操作などに関わる監査証跡を収集したり管理する機能の有無、変更作業の承認とシステム変更のログなどを対応付ける機能の有無を考えることになります。
監査証跡を活用する
監査証跡をどのように扱うかは統合運用管理ツールによって違いがあります。例えば運用ルールに沿って作業がなされているかどうかをチェックするにはログの管理や分析機能が重要になりますが、統合運用管理ツールによって各ソフトの内部にログを保存するだけのものからツール全体のログを横断的に分析できるものまで、様々です。サーバー操作やクライアント操作といった運用実績に関する監査証跡まで管理するツールの場合は、最初から内部統制の監査を前提に作られています。さらに監査機能を強化するため、変更作業の承認と構成情報、システム変更のログなどまで紐付けたツールもあります。こういった機能は個々のソフトが備えている場合もあれば、独立した専用製品として提供されている場合もあります。変更作業の承認と同時に、実際に承認通りに作業が実施されたかどうかをログから確認できたりするので、監査作業の効率が上がります。
統合運用管理ツールには、標準で設定変更、登録、削除などの操作を監査証跡としてファイルに保存できるようになっているものがあります。
Redmineでも証跡・履歴の管理は可能です。メールによる問合せなどを自動登録で取り込むことができますし、監視ツールから上がってくる障害を自動登録するツールも開発されています。
自社での情報資産を洗い出し、適切な管理体制を作ることは、企業において重要です。
証跡管理はそのためにも必須となります。特に上場を考えている大きな企業であれば重要な業務です。効果的に証跡管理を行うためのポイントを2つ紹介します。
証跡管理を効果的にするために、記録を保管するシステムやITツールを利用することを推奨します。膨大な記録や情報をシステムが自動的に集め、一定の場所で一元管理するため、効果的に証跡管理ができます。
システムツールには様々なものがあり、以下のような違いがあります。
ITシステムを適切に利用できる体制を作っていくためにも、システムを導入して証跡管理をしていくことは重要です。
ITが普及している今、ITシステム利用時のリスクを管理するための整備は欠かせません。
システムによる証跡管理によって、ITシステムを適切に利用できる体制づくりが可能です。
業務における様々な書類を適切に管理することは、書類またはデータの不要な持ち出しによる情報漏洩や文書紛失などのリスクを防止できます。
管理すべき紙媒体文書の具体例
このように紙の文書だけでも多くあり、紙の書類は管理が難しいため、文書の電子化を検討することが必要です。
紙書類を電子化することで管理の効率化が期待できます。
管理すべき電子媒体の文書の具体例
今まであまり気にしていなかったものも電子媒体の文書のため、管理が必要です。
企業の紙媒体と電子媒体の書類は膨大な量です。
電子文書をシステム管理できると、文書管理が効率的になり、文書の閲覧、変更、削除履歴などの記録が残せるため、証跡管理も効率化します。
SHERPA-SMは、オープンソースプロジェクト管理として有名な「Redmine」をベースに強みである操作性や自由度はそのままに、システム障害管理・問い合わせ管理に必要となる様々なプラグインを盛り込んだインシデント管理ソリューションです。
SHERPA-SMは、アラートを単純に溜めるだけでなく、溜まったデータを再利用して一次対応を担当する速度を上げることができます。
対応するオペレータのレベルなどに関係なく、過去の対応履歴が確認できるため、情報を資産化する事ができるツールとなります。
昨今の働き方改革をはじめ、思うようなスキルを持った人材の採用が困難な中、限られた人数で効率よく現場を運用するために対応するという点でも有用となります。
SHERPA-SMのインシデント管理機能は、基本機能として監視ツールから障害通知をチケットとして自動登録し、オペレータによる手入力や入力漏れ、記載内容の違い等を防ぐ事ができます。対応記録をSHERPA-SMに残し、蓄積・現状把握をすることで、情報の共有化や対応の漏れ、偏りを防ぎ、継続的な問題管理が容易となり、少ない人数で最大限の生産性向上を実現します。
また、SHERPA-SMを利用すれば、対応の進捗率や対応件数を把握・対応記録を自動的に蓄積することができます。障害復旧に至るプロセスが見える化され、もし次に同じ障害が発生した場合、蓄積した情報を活用できるため、どのオペレータが担当しても同じ運用が可能となります。蓄積した情報は、手順書化する事も重要で、手順書もSHERPA-SMで管理することが出来ます。さらにSHERPA-IRと連携する事で、障害の内容や時間帯によって誰にエスカレーションするかを自動判別するので、必要な情報のみを連携する事ができ、誤ったオペレーション等の危険性も軽減されます。
SHERPA-SMのインシデント管理機能で説明した通り、今まで現場が抱えていた手がかかる煩雑でミスしやすい部分が効率化され、担当者がより優先順位の高い作業に従事するといったメリハリの効いた業務体制を構築することができるようになります。
少ない人数で効率よく運用・保守をおこなえるようになれば、人員確保やシフト管理などの悩みも軽減でき、システムの安定化からお客様満足度の向上・人件費や運営費と言ったコスト削減につなげることが可能です。
