SOX法対応では、システムの職務分掌作業が大変：IT担当者のための内部統制ガイド（7）（3/3 ページ）

[鍋野 敬一郎，＠IT]

規定されたルールが複数システムで反映できているのか

　複数システムをまたがる業務プロセスで、通常どれくらいの不備（コンフリクト）を生じているのかご存じでしょうか。

　SAPが提供しているSAP GRCソリューションのアクセスコントロールコンポーネントの中にコンプライアンス・キャリブレーターという職務分掌のコンフリクトチェックを自動化するツールがあります。

　この標準テンプレートをそのまま適用した場合、一般的な企業では約1万件以上のエラーが見つかります。このエラーをゼロにすることが、IT情報システムにおける職務分掌を実現するということになります（このシステムは2006年にSAPが買収したVIRSA SYSTEMという企業が開発している製品なので、SAP以外のベンダの製品もコンフリクトチェック可能なテンプレートが提供される予定です。以前のバージョンはSAPのみの対応でしたが、新版は「JavaバージョンとなりSAP以外のシステムにも対応可能である」となっています）。

　IT統制における職務分掌の実現とは、全社のIT情報システムでコンフリクトチェックを行って不備がない状態です。情報システム部門は、文書化で規定されたルールに沿った業務プロセスを、複数システム間にまたがって適宜反映しなければなりません。異動、昇進、組織改編などによる変更に速やかに対応し、これによる不備を自動的に回避しなければなりません。

　その作業はシステムの保守対応と同様に、きめの細かい運用管理を効率化する手段が必要です。米国の事例ですが、こうしたツールを導入している企業の方のお話では組織変更、異動、昇進などがあるたびに、ツールを使って徹底的にチェックをしているそうです。こうした日常のきめ細かい運用が、リスクを低減する活動として監査側から高い評価を得ているそうです。

　多くの企業では、文書化の次にシステム対応、システム対応が完了したらテスト・評価、そしてフィードバックというシナリオを描いていると思いますが、運用管理の効率化を考慮していないと、2年度目以降のIT統制環境の継続運用ができないという事態も想定されます。職務規定書、プロセスフローチャート（PFC）、リスクコントロールマトリクス（RCM）など文書類の変更対応に沿った、IT情報システムの変更対応を省力化・効率化する必要があります。

　IT業界として内部統制というテーマでシステム需要を見込んでいるベンダも多いのですが、その内容はツールの売り込みやシステムリプレイスを見込んだ再構築などに偏っていて、継続的な運用といった視点が欠けているような気がします。

　継続的な内部統制環境を実現するうえで、そろそろ運用フェイズを視野に入れた検討が必要です。IT情報システムにおける職務分掌を継続的に維持していくことは、今後IT担当者の日常業務として当たり前のことになりますが、その運用設計をぜひご検討いただきたいと思います。

著者紹介

鍋野 敬一郎（なべの けいいちろう）

1989年に同志社大学工学部化学工学科（生化学研究室）卒業後、米国大手総合化学会社デュポン社の日本法人へ入社。農業用製品事業部に所属し事業部のマーケティング・広報を担当。

1998年にERPベンダ最大手SAP社の日本法人SAPジャパンに転職し、マーケティング担当、広報担当、プリセールスコンサルタントを経験。アライアンス本部にて担当マネージャーとしてmySAP All-in-Oneソリューション（ERP導入テンプレート）を立ち上げた。

2003年にSAPジャパンを退社し、現在はコンサルタントとしてERPの 導入支援・提案活動に従事する。またERPやBPM、CPMなどのマーケティングやセミナー活動を行い、最近ではテクノブレーン株式会社が主催するキャリアラボラトリーでIT関連のセミナー講師も務める。

「IT担当者のための業務知識講座」バックナンバー

• “上から目線”の排除が、電子政府推進のカギ
• “愛とIT”が、医療介護の品質を決める
• 顧客の囲い込みに、ITが不可欠となる教育業
• 深い業務知識が、信頼できる金融システム構築の鍵
• 建設もITシステムも、成果は上流工程で決まる
• 電子書籍時代、印刷業は提案力とデータ管理が命
• 物流業の命は、「輸送」よりも「情報活用」にあり
• 製造業は“ITシステムの使いこなし”がキモ
• 卸売業の命はデータとニーズの“マッチング”にあり
• 小売の業務とIT利用　―POSとEOSによる店舗運営―
• ITマネジメントの本質を知る　―プロローグ―