SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

IT Compliance Reviewスペシャル

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること(前編)

前編

J―SOX初年度監査が進み、各企業では2年目以降の対応に取り組み始めているところだろう。制度対応に終始した初年度に対し、2年目以降は継続を考えた、人・システム・時間等のコストを考え効率的に行うという新たな課題がある。評価の自動化、またIT統制そのものの2年目以降の課題も踏まえ、取り上げる。

手探りの内部統制対応 作業IT統制のポイントは職掌分掌とアクセス権限

 1957年設立のコンビは、ベビーカーやチャイルドシート、乳幼児玩具などの開発、製造が事業の主力だ。1991年に株式を店頭公開し、2002年に東証二部に上場、翌2003年には東証一部に指定替えされている。

 コンビがJ―SOX対応の作業を開始したのは2007年度。IT統括部が、IT全般統制を担当、業務処理の統制については総務部の下に組織された内部統制グループが担った。2007年2月には金融庁による実施基準が公表されていたが、肝心の体制整備と評価について具体的には示されてはいなかった。

 当時の状況について、同社 IT統括部部長の山田徹也氏は「初年度は監査法人と共に、手探りの状態。打ち合わせを重ねて認識のすり合わせを続け、初年度監査を乗り切きった」と振り返る。

コンビ株式会社  IT統括部 部長 山田徹也氏

 IT統制のメインターゲットは、会計、生産、販売、購買の業務を対象とした基幹業務システムだ。2002年からSAPジャパンのERPパッケージ「SAPERP」(当時はSAP R/3)で構築と運用を開始し、2004年4月にカットオーバーした。

 2007年度にIT統括部が準備のために実施したのは、IT統制の基本方針の策定と規定の見直し、そして評価の基準などについてのガイドラインの作成がメインだ。そしてガイドラインを実際の整備作業に入る前に監査法人に送り、妥当性などについて判断を求めた。

 これに対して、「評価の基準については問題ない、ただ、アクセス権限の整備と変更管理が重要であり、その部分については注意して対応するように」との念押しがあったという。翌2008年度にはIT全般統制のリスク・コントロール・マトリクス、整備運用チェックリスト、IT不備一覧を作成した。

 システム上ではまず内部統制対応への一環として2008年1月、最新の機能を実現するために基幹システムのプラットフォームをSAP ERP 6.0にアップグレードした。同時に監査法人からの指摘や、内部における検討の過程で明らかになった課題への対応を強化するために導入が決定したのがSAP BusinessObjects Access Controlだ。

 コンビのIT統括部には、社内ユーザーが業務上で問題が発生した場合、ユーザーに代わって業務の中身をチェックして対策を立てるなどの仕事を行っているグループがある。当然、そのメンバーは基幹業務システム上であらゆることができなければならない。そのため、以前はかなり高い権限のロールを作っていた。

 しかし、内部統制が始まれば「なぜそのような高い権限を持たせているのか」「常時ログを取得してチェックしているのか」という問題になりかねない。J―SOXでは、システムにアクセスするユーザーによる「不正」を防止するため、特定の機能を実行するための権限を適切に切り分ける職掌分掌が重要視されるからだ。

 そこで同社では、SAP BusinessObjects Access Controlの機能の1つであるSuperuser Privilege Management:スーパーユーザー・プリビレッジ・マネジメント(以下、SPM)を活用することにした。SPMは例外的な高いロールを持つ特権ユーザーの緊急処理を禁止し、緊急処理を行うユーザーには代理処理用のIDを与える。そしてそのIDを使用した作業の履歴を残すことで、職務分掌を徹底させるというわけだ。

次のページ
職務権限とアクセス権限 必要最低限の「のりしろ」を受け入れる

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
IT Compliance Reviewスペシャル連載記事一覧

もっと読む

この記事の著者

久原 秀夫(クハラ ヒデオ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/1744 2009/09/10 07:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング