Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

コンビに見るIT統制効率化の最適解 2年目のIT統制は「やらないこと」を作ること(後編)

2009/09/17 07:00

J―SOX初年度監査が進み、各企業では2年目以降の対応に取り組み始めているところだろう。制度対応に終始した初年度に対し、2年目以降は継続を考えた、人・システム・時間等のコストを考え効率的に行うという新たな課題がある。評価の自動化、またIT統制そのものの2年目以降の課題も踏まえ、取り上げる。

初年度は「多少の不備が出ても構わない」オーバースペックの対応を避ける

 前述の通り、IT統括部では2007年度にはガイドライン、2008年度にはIT全般統制のリスク・コントロール・マトリクスなどを作成した。ただ、一般に言われている3点セットについては業務処理統制を担当する内部統制グループが作成し、IT全般統制の3点セットという形では作っていない。業務処理統制の中にIT統制という一覧を設け、そこに統制内容を記入する形にした。

 コンビにおける各業務におけるキーコントロールにITの統制が絡んでいる部分が多くないことも、対応業務の負荷を軽減する一助になっているようだ。初年度の本番監査において、コンビが監査法人から指摘された不備は軽度な数件にとどまり、中でもSAP ERPによる基幹系に不備はなかった。

 IT統制に関しては監査法人のITに詳しい部隊から3名が来ており、キーとなりそうな部分について設定の詳細を質問しながら評価が進められた。場合によっては監査法人の担当者自身が直接データベースを触り、内容をチェックしたという。

 山田氏は「監査法人にとってもSAP ERPはなじみの深いパッケージであり、監査法人ログを取得するツールも用意されている。だから強いところ、弱い部分がよくわかっている」と分析する。たとえば弱くなりうる部分として山田氏が挙げたのが「ロールの設定が非常に複雑」という点であり、その対策としてSAP Business Objects Access ControlのSPMが導入された。

 コンビの初年度におけるJ―SOX対応の基本方針は「極論すれば多少の不備が出ても構わない。重大な欠陥さえなければいい」(山田氏)というものだった。IT統制のガイドラインも目標値として作成したものであり、必ずしも100%満足させなければならないものではなかったという。

 結果として一部の企業で見られたようなオーバースペックの対応は行われず、文書化、3点セットの作成のための負担も、当初の懸念ほどではなかったようだ。そして、その最低限と考えた準備をもとにテストをしてみたところ、結果的に統制が取れていたと証明された業務プロセスが続出した。

 監査法人による評価が開始されたのは2008年秋からだが、7月頃に一度、プレ評価を実施した。そこでやはり複数の課題が表面化し、従来は紙ベースで運用していたものをワークフローに置き換えるなどの準備をしたことも、本番評価が比較的スムーズに進んだ要因となっているようだ。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

バックナンバー

連載:IT Compliance Reviewスペシャル

もっと読む

All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5