Security, time after time

さて最近お問い合わせを頂いた中で「18号監査について」というのがあります。これは正確には公認会計士協会監査基準委員会報告書第18号「委託業務に係る統制リスクの評価」に基づく監査報告書及び添付される記述書、というものです。

簡単に言えば内部統制上重要な業務をアウトソーシングしている場合にはその受託先まで統制範囲が及びますから本来監査する必要があるのですが、受託側企業が独自に自らの監査人に監査を受けて18号による監査報告書を作成して委託元企業とその監査人に提出することで「これ出すからウチには監査にこなくていいですよね？」というような使い方をするようです。

ただしあくまで提出された18号の監査報告書が委託元企業の内部統制を評価するために十分な情報であるかどうかを判断するのは委託元側の監査人なので、「18号の報告書を作ったからこれでOK!」というわけには必ずしもいかないことになっています。

最近一部で18号監査報告書とISMSなどの「認証」（＝お墨付きのようなイメージ）を混同している方がいるのですが、全く違うものだと思ってください。公認会計士協会では「ＩＴ委員会研究報告第31 号「ＩＴ委員会報告第３号「財務諸表監査における情報技術（ＩＴ）を利用した情報システムに関する重要な虚偽表示リスクの評価及び評価したリスクに対応する監査人の手続について」Q＆Ａ」の一部改正について」（←ややこしいタイトルですが）というドキュメントにおいて以下のように記述しています。

------------------------------------引用-----------------------------------------------------------------------------------------------
(1) 18 号業務と認証制度の違い
18 号業務は、委託業務に係る内部統制の認証業務ではありません。プライバシーマークやISMS等の認証制度のような18 号マークという制度は存在せず、報告書の入手をもって18 号マーク認定を取得できるというものではありません。
------------------------------------------------------------------------------------------------------------------------------------------

このあたりはかの有名会計士丸山満彦先生もブログに書かれているので参照されると勉強になると思います。

で、「18号監査に対応するにはデータベースのどんなログを取っておけば良いですか？」というようなお問い合わせを頂くのですが、残念ながら「個別にご相談です」というお答えになります。なぜなら各企業ごとにアウトソーシングしている業務の内容・形態が違い、そこに定義されているリスクとコントロール（統制活動）、監査手続きなどが異なるはずだからです。

従って我々としては、それらを教えて頂きながら適切なログの取り方・分析・レポーティングの仕方を検討・提案させて頂くのが、ちょっと遠回りのようですが一番お客様の内部統制要件に合ったログ監査ソリューションを構築できると考えています。

やや乱暴に単純化するならば管理者であるDBAの行為をDBA監査でログをとり、それ以外にデータベースの設定を変えるような行為（例：ALTER　TABLEとか）と財務諸表に関連の深いデータに対するアクセスログなどを取っておけばなんとかなりそうには思います。しかし、それらは「行為の記録」であって「正当な行為である証明」ではありませんので、ログとして記録された操作が業務上正当な行為であったことを証明できる必要があるでしょう。その場合は別のワークフローシステムのログやそこから抽出した承認番号データなどとデータベースのログを照合する作業が必要になったりします。これは一般的なDB監査ツールではほとんど実現できないのですが、オラクルではOracle Audit VaultとOracle Business Intelligence を組み合わせた合わせ技で提供することができます。いずれにしても18号監査のための魔法の監査ログ収集ツールというのは残念ながら存在しないようです。

DB監査ツールについてはまたいずれお話しましょう！