内部統制の決め手は「情シス部門の地位向上」：運用管理の過去・現在・未来（1/3 ページ）

全社統合システム基盤の構築プロジェクトがついにスタート。だが、そこに至るまでには情報システム部のあの手この手の努力があった。

[敦賀松太郎，ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

縦割り組織が災いを呼ぶ

　現在、多くの企業で2008年度からの施行が予定されている日本版SOX法に向けた情報システムの再構築が急ピッチで進められている。中堅の機械部品メーカーである株式会社M工業でも、3年前からコンプライアンスに対応した全社統合の情報システム基盤の構築プロジェクトに着手。まもなくカットオーバーの日を迎えようとしている。

　このプロジェクトは、会社の組織再編を含めた大きな変革を伴うものだった。そのため、プロジェクト自体が頓挫するのではないかと危ぶまれた時期もあった。それを解決したのが、経営陣の“鶴の一声”であり、その裏には情報システム部の担当課長、田中さん（仮名）の活躍があった。

　M工業は、製造品目ごとに分類された事業部ごとの独立採算制をとっていた。これは、約50年前に3社の合併によって設立されたという同社の沿革に由来する。事業部ごとに別の製造拠点があり、それぞれに生産部門や営業部門、さらには総務・人事部門まであるという完全な縦割り組織の会社だった。そのため、情報システムも各事業部によってまったく別個に構築されており、各事業部の情報システム課が運用管理を行ってきた。

　もちろん、本社にも情報システム部はある。しかし、その役割は、各事業部から上がってくる数字を入力する基幹システムを運用管理することだった。各事業部と本社のシステム同士はほとんど分断されているといえる状態だったのだ。

　これらは現場任せの情報システムのため、事業部によって品質に大きなバラつきがあった。例えば、ある事業部の生産管理システムは、構築当時は最先端システムとしてマスコミにも取り上げられたほどだった。そうした“立派な”システムが存在する一方で、重要な帳票や文書がファイルベースで個人管理されているという、杜撰なシステムの事業部もあった。これでは、内部統制の実現など程遠い。これが今をさかのぼること3年前、全社統合システム基盤構築に取り組む以前のM工業の状況だった。

次々に発見される脆弱性

　そのころ、日本版SOX法が話題になり始め、多くの企業が動きを見せるようになった。M工業の情報システムは監査に通るものではない、と最初に気がついたのは、本社情報システム部の田中さんたちだった。そこで、田中さんを中心とする情報システム部の数名のスタッフが各事業部を回り、システムの現状を調査して改善案をリポートにまとめる作業を行った。

　調査を進めるうち、とんでもない事実がいくつも発覚した。ある事業部では、例えば各部署が自由にサーバを導入しており、管理者不在のまま放置されていたものがあった。当然、セキュリティパッチは適用されておらず、ネットワーク経由で侵入してくるマルウェアに感染して情報が流出していないことが奇跡と思えるものさえあった。

　また、ライセンス管理も不十分で、OSを不正コピーして使用しているのではないかと疑われるサーバも存在した。そうした問題に加え、複数の事業部が同じようなシステムを別々に運用するため、全社的に見るとITリソース、人的リソースともに大きな無駄があることもわかった。