準備段階でIT統制の対象にするシステムの範囲を決める際、会計や販売管理、受発注といった「3勘定に直接関係するシステム」を見落とすことはないだろう。ただ、一見、3勘定には全く関係なくてもIT全般統制を整備する上で必要不可欠なシステムが存在し得る点に注意したい。
アドバンテストの場合、それは人事システムだった。同社は2000年にERP(統合基幹業務システム)パッケージを利用して、会計、人事、生産・販売管理など基幹系システムを刷新。当然ながら、会計や生産・販売管理は対象システムとした。では、人事システムはなぜ対象となるのか。
1つの理由は、給与計算に影響を及ぼすためだが、それ以上に重要だった点がある。それは、人事システムのデータがすべてのシステムのアクセス管理の基となっていることだ(図5)。例えば「経理部の部長は会計システムの××アプリケーションへのアクセス権限がある」と決め、人事システムで役職を参照している。このような場合、人事システムに対する統制が十分でなければ、会計システムに対する統制の不備にもつながってしまう。
 |
| 図5●アドバンテストはアクセス管理の基となる人事システムをSOX法対応の対象とした [画像のクリックで拡大表示] |
言うまでもなく、どの企業でも人事システムが対象となるわけではない一方、思わぬシステムが対象となり得る。後になっての対象システムの増加は、スケジュールの遅延を引き起こす。どのシステムがIT統制の対象となるかは、システム部門にしか分からない部分が多い。その意味でも準備段階では初期からシステム部門がプロジェクト・チームに参加し、IT統制の対象システムを明らかにしたい。
