初年度は「多少の不備が出ても構わない」オーバースペックの対応を避ける
前述の通り、IT統括部では2007年度にはガイドライン、2008年度にはIT全般統制のリスク・コントロール・マトリクスなどを作成した。ただ、一般に言われている3点セットについては業務処理統制を担当する内部統制グループが作成し、IT全般統制の3点セットという形では作っていない。業務処理統制の中にIT統制という一覧を設け、そこに統制内容を記入する形にした。
コンビにおける各業務におけるキーコントロールにITの統制が絡んでいる部分が多くないことも、対応業務の負荷を軽減する一助になっているようだ。初年度の本番監査において、コンビが監査法人から指摘された不備は軽度な数件にとどまり、中でもSAP ERPによる基幹系に不備はなかった。
IT統制に関しては監査法人のITに詳しい部隊から3名が来ており、キーとなりそうな部分について設定の詳細を質問しながら評価が進められた。場合によっては監査法人の担当者自身が直接データベースを触り、内容をチェックしたという。
山田氏は「監査法人にとってもSAP ERPはなじみの深いパッケージであり、監査法人ログを取得するツールも用意されている。だから強いところ、弱い部分がよくわかっている」と分析する。たとえば弱くなりうる部分として山田氏が挙げたのが「ロールの設定が非常に複雑」という点であり、その対策としてSAP Business Objects Access ControlのSPMが導入された。
コンビの初年度におけるJ―SOX対応の基本方針は「極論すれば多少の不備が出ても構わない。重大な欠陥さえなければいい」(山田氏)というものだった。IT統制のガイドラインも目標値として作成したものであり、必ずしも100%満足させなければならないものではなかったという。
結果として一部の企業で見られたようなオーバースペックの対応は行われず、文書化、3点セットの作成のための負担も、当初の懸念ほどではなかったようだ。そして、その最低限と考えた準備をもとにテストをしてみたところ、結果的に統制が取れていたと証明された業務プロセスが続出した。
監査法人による評価が開始されたのは2008年秋からだが、7月頃に一度、プレ評価を実施した。そこでやはり複数の課題が表面化し、従来は紙ベースで運用していたものをワークフローに置き換えるなどの準備をしたことも、本番評価が比較的スムーズに進んだ要因となっているようだ。
