手探りの内部統制対応 作業IT統制のポイントは職掌分掌とアクセス権限
1957年設立のコンビは、ベビーカーやチャイルドシート、乳幼児玩具などの開発、製造が事業の主力だ。1991年に株式を店頭公開し、2002年に東証二部に上場、翌2003年には東証一部に指定替えされている。
コンビがJ―SOX対応の作業を開始したのは2007年度。IT統括部が、IT全般統制を担当、業務処理の統制については総務部の下に組織された内部統制グループが担った。2007年2月には金融庁による実施基準が公表されていたが、肝心の体制整備と評価について具体的には示されてはいなかった。
当時の状況について、同社 IT統括部部長の山田徹也氏は「初年度は監査法人と共に、手探りの状態。打ち合わせを重ねて認識のすり合わせを続け、初年度監査を乗り切きった」と振り返る。
IT統制のメインターゲットは、会計、生産、販売、購買の業務を対象とした基幹業務システムだ。2002年からSAPジャパンのERPパッケージ「SAPERP」(当時はSAP R/3)で構築と運用を開始し、2004年4月にカットオーバーした。
2007年度にIT統括部が準備のために実施したのは、IT統制の基本方針の策定と規定の見直し、そして評価の基準などについてのガイドラインの作成がメインだ。そしてガイドラインを実際の整備作業に入る前に監査法人に送り、妥当性などについて判断を求めた。
これに対して、「評価の基準については問題ない、ただ、アクセス権限の整備と変更管理が重要であり、その部分については注意して対応するように」との念押しがあったという。翌2008年度にはIT全般統制のリスク・コントロール・マトリクス、整備運用チェックリスト、IT不備一覧を作成した。
システム上ではまず内部統制対応への一環として2008年1月、最新の機能を実現するために基幹システムのプラットフォームをSAP ERP 6.0にアップグレードした。同時に監査法人からの指摘や、内部における検討の過程で明らかになった課題への対応を強化するために導入が決定したのがSAP BusinessObjects Access Controlだ。
コンビのIT統括部には、社内ユーザーが業務上で問題が発生した場合、ユーザーに代わって業務の中身をチェックして対策を立てるなどの仕事を行っているグループがある。当然、そのメンバーは基幹業務システム上であらゆることができなければならない。そのため、以前はかなり高い権限のロールを作っていた。
しかし、内部統制が始まれば「なぜそのような高い権限を持たせているのか」「常時ログを取得してチェックしているのか」という問題になりかねない。J―SOXでは、システムにアクセスするユーザーによる「不正」を防止するため、特定の機能を実行するための権限を適切に切り分ける職掌分掌が重要視されるからだ。
そこで同社では、SAP BusinessObjects Access Controlの機能の1つであるSuperuser Privilege Management:スーパーユーザー・プリビレッジ・マネジメント(以下、SPM)を活用することにした。SPMは例外的な高いロールを持つ特権ユーザーの緊急処理を禁止し、緊急処理を行うユーザーには代理処理用のIDを与える。そしてそのIDを使用した作業の履歴を残すことで、職務分掌を徹底させるというわけだ。
