操作ログを活用した業務改善
操作ログ取得によるコストダウン
前ページで紹介した大学病院の例では、もともとあった課題の解決に操作ログが活用されました。この事例以外の例として、一般企業において操作ログが業務改善につながった例を紹介します。
----------------------------------------------------------------
【課題】
会社にはさまざまなシステムが導入されており、通常はシステム運用部門が、それらシステムの管理などを行っています。ところが、実際には使われていないシステムが放置されていることもあります。
【対策】
会社にとって必要なシステムを明らかにし、不要なシステムはライセンス契約を打ち切ったり使用を控えることで業務を効率化できます。
----------------------------------------------------------------
【課題】
メールの送受信では、受信数は送信数を大きく上回ります。当事者ではないものの報告程度に送付されるCC(カーボン・コピー)の数が多いことが主な要因の1つです。出勤時に行う大量のメール・チェックや会社サーバーへの負荷などが積み重なり、意外に大きな負担となるのです。
【対策】
全部署に送るようなCCメールは、グループウエアの掲示板などで代用すれば負荷を軽減できます。どの範囲までを掲示板で知らせ、どの範囲までをCCメールで行うかなどは、操作ログを見ることで適切な設定が可能でしょう。
----------------------------------------------------------------
ほかにも網羅的な操作ログの効能はあります。例えば、「ログを取られている」と意識させることで、従業員の無駄な行動や業務と関係ない行動を抑制することに役立ちます。操作ログを取られている状態で業務と関係のないことをする従業員は少ないでしょうし、自然と社内の倫理観が向上するでしょう。
業務に関係のないWebサイトを閲覧するという問題は、インターネットが普及した現在、よく聞くことです。しかし、Webサイトの閲覧を規制すると、自由な発想を生み出す可能性も摘んでしまいます。フィルタリング・ソフトも後手に回っている印象があり、信頼していない方も多いでしょう。この一方で、操作ログの取得による抑止力と個人の倫理観向上は、こうしたリスクもなく効果を発揮するため、非常に有効です。
事実が記録された操作ログで監査人の信頼を得る
操作ログによる業務改善は、内部統制における継続的な「モニタリング」の負担を軽減する効果もあります。事実を継続的に記録し続ける操作ログを有効活用すれば、業務把握の客観性をより簡潔に証明できるようになるからです。
網羅的に操作ログを取得できるソフトである「セキュリティプラットフォーム(Security Platform、以下SeP)」を導入したユーザーの多くは、操作ログが内部統制の監査において有効であるという判断のもと、監査部門とシステム部門が連携をして導入を決めています。
SePの操作ログは生データのまま内容を判読できるため、事実の確認にとって非常に有利です。ところが市場を見渡すと、生データのままログを見せず、いったんシステム業者がデータを加工してからユーザーに渡すという方法をとっている業者もいます。「業務の事実」としての操作ログに人間の意図が入ったのでは「客観的」な視点が削(そ)がれる可能性があり、本来の役割を喪失してしまいますので、注意が必要です。
網羅的に取得された操作ログは、その継続性や客観性によって内部統制におけるモニタリングの際に、事実の証拠として非常に有効です。さらに、「○○に関するログを抽出して分析を行っている」という行為自体が監査人から見て「業務の事実を記録して見極めようとしている経営者の意識の表れである」と見なされる点も、監査において有効です。業務の正当性を証明する1次的な効果だけでなく、記録そのものが監査人の信頼につながるという「副次的効果」を期待できるのです。
監査人の信頼は、とても重要です。監査人は企業への“心証”を出発点として監査を行います。心証の良い企業へは信頼感をもって監査にあたります。逆の場合は、不信感を抱きつつ監査に当たるため、心証が良ければ行わない細かい個所までチェックすることもあります。このような事態は、お互いにとって不幸と言わざるを得ません。
次のページからはログ取得における課題の解決方法について解説します。