IT全般統制における最大のリスクはIT部門自体だ―。農薬の販売・マーケティングを手掛けるアリスタライフサイエンスは、外部の診断で、こう指摘された。限られたシステム部員が努力し、開発から運用・保守までを担当していることが問題だという。
アリスタライフサイエンスのシステム部員数は5人。単独で約200人、グループでは2000人以上いる社員が利用するシステムの開発や、2005年2月に導入した独SAP製ERP(統合基幹業務システム)パッケージ「R/3」のヘルプデスク業務など、それぞれが特定の分野の仕事をこなしている。
ところが、06年末にIT全般統制の整備状況の診断テストを受けた結果、最大のリスクだと指摘されたのはシステム部門そのものだった。「部員それぞれに特定の業務が集中し過ぎている」のがその理由である。
リスクとしては挙げられたのは、「担当者が辞めたり、休んだりした際の事業継続性に問題がある」「開発から運用・保守まで1人が担当しているため、間違いや不正が分かりにくい」といった点。同社でIT統制の整備を進める情報システム部の吉川雄介主任は、「まじめに働いてきたことがリスクになった」と話す。
アリスタが受けたのは、ソフトバンクテレコムが提供する診断テスト。情報セキュリティの国際規格ISO17799や、ITガバナンスのフレームワークであるCOBITを評価基準に用いている。ソフトバンクテレコムのコンサルタントが、システム部門や業務部門の担当者と面談し、3カ月間かけてIT統制の整備状況を調べた。
 |
| 統制の対象とポイント |
外部の診断を受けたのは、「第三者に指摘を受けることで、公平な判断ができる」(吉川主任)と考えたためだ。当時、日本版SOX法の実務上のガイドライン「財務報告にかかる内部統制の評価および監査に関する実施基準」は公表されておらず、「どんなルールが求められているのか分からない」(吉川主任)状況だったことも、背景にある。
システム部門が大きなリスクだという診断結果を受けてアリスタは、IT全般統制の整備を急いでいる。ソフトバンクテレコムのコンサルタントとともに整備計画を立案。「費用をかけずに、実行できるものから着手する」(吉川主任)という方針に沿い、07年上半期にはシステム部門の体制を見直すとともに、診断で指摘された会計関連システムへのアクセス管理を強化する。
システム部門のリスク軽減に向けては、人数を増やすことと、部門内の情報共有を進めることで、兼務状態の解消を図る。具体的には、07年に入ってすぐに営業部門に所属していた社員をシステム部門に異動。加えて、これまで属人化していた障害対応などの記録を共通データベースに登録することにした。こうした処置について、吉川主任は、「単なる法対応にとどまらず、システム部門の能力の底上げにもつながる」と期待する。
一方、会計関連システムにおけるID管理の強化では、改めて社員の役割の定義やアカウント数を見直すとともに、役割と権限の対応付けなどを明確にしていく計画だ。これにより、組織変更などに左右されない仕組みを作る。これまでも、社員の役割を明確にしたうえでIDを配布していたものの、「組織変更や承認ルールの変更を繰り返すうちに、現場の実体にそぐわなくなっていた」(吉川主任)。
R/3を利用した会計システムに対するアクセス管理は今年中に終了する予定である。
