予防的統制と発見的統制

Translate to English : (Yahoo!)/ (Google)/ (Microsoft)

金曜日 4 13, 2007

こんにちは。
予防的統制と発見的統制に関して、1点前から思っていたのだけど、本や雑誌、Web等の情報でもあまり触れられてないなーってことを書いておこうと思います。

発見的統制を効果的に実施するには予防的統制の整備が必要

業務処理統制を効果的に実施するには全般統制の整備が必要 ってのはよく言われていることですけど、発見的統制を効果的に実施するには予防的統制の整備が必要はあまり見かけません。

業務処理統制を効果的に実施するには全般統制の整備が必要 の例としてよく使われるのは、「業務アプリケーションに対して、データインテグリティの確保のための業務処理統制などを整備したとしても、その稼動プラットフォームであるオペレーティングシステム上の管理者アカウントに対するID管理（アクセス権限情報管理）に不備があれば業務アプリケーションに対する統制の有効性が低下する。」って感じかと思います。

では、発見的統制を効果的に実施するには予防的統制の整備が必要 の例ですが、「アプリケーションに対するアクセスログを取得して監査証跡として保存・内容の確認をしていたとしても、そのアプリケーションに対するID管理（アクセス権限情報管理）があいまいであればアプリケーションのアクセスログを取得して、内容を確認するという統制の有効性が低下する。」ってのはどうでしょうか。解説すると、

1. アクセス権限情報管理があいまいだと、
2. 本来アクセス権限を持っている人だけでなく、なんらかの不備やあいまいな権限管理によってたままたアクセス権限を持っていた人もアプリケーションにアクセスできてしまう。
3. アクセスできると人が必要以上にたくさんいるとアクセスログの量は当然多くなる。
4. アクセスログの量が多くなり、かつアクセス権限情報もあいまいだと、アクセスログの確認作業は複雑で手間がかかるものになる。（人手でチェックする場合だと、チェックミスの頻度があがり、プログラム等でアクセスログをフィルターするとしてもそもそもアクセス権限管理があいまいなのでどのようにフィルターしていいか分からない。）
5. 複雑で手間がかかる統制処理を継続して実施しいくことは、効率性、有効性を損なうものとなる。

な感じでしょうか。
もーっと簡単に言ってしまうと、「家の戸締りや鍵の管理（アクセス権限情報管理[予防的統制]）をしっかりしないで、防犯カメラ（アクセルログの取得[発見的統制])を設置しても泥棒に入られないようにする（アプリケーションに不正にアクセスをされないようにする。[統制目標])ことに対してあまり効果的ではない」ということです。
なので、まずは、「予防的統制」を整備して、予防的統制がうまく機能しなかった場合のために「発見的統制」を整備するという考え方も重要なのではないかなと思っています。
_kimimasa