内部統制の整備において、システム部門が中心となって行うのがIT統制だ。以前から、職務分掌、アクセス管理、変更管理がIT統制の重要なポイントと指摘されてきた。実際、米SOX法対応企業のシステム部門は一様に、これらへの対応が大変だったとする。しかも、重要だと分かっていながらも予備監査や本番監査で指摘されたのは、やはり、この3点が中心だった(図6)。
 |
| 図6●米SOX法404条対応企業のシステム部門が共通に挙げる3つのポイント 職務分掌が、アクセス管理と変更管理の前提となる [画像のクリックで拡大表示] |
職務分掌とは、社員の役割や責任範囲を明確化すること。内部統制に関係する業務プロセスについて、依頼者と実行者、実行者と承認者を分けるなどがそうだ。システム部門ならば、システムの開発や変更は、ユーザー部門の依頼を受けてから作業し、作業後は依頼通りかどうかの承認を受けるといった業務プロセスを確立して、記録に残す。開発・保守と運用の担当者を分けるなども職務分掌に当たる。
言葉でいうのは容易だが、米SOX法対応企業各社は、その実現に苦労した。職務分掌を実現するのに必要なアクセス管理、ユーザー部門や外部委託先も対象にした変更管理などで、さまざまな“壁”が存在したからだ。
人員削減で分掌できる人数がいない
まず大きいのが、決められた職務通りに部員を分けることだ。600人のシステム部員を抱えるキヤノンでさえ、「従来、アプリケーションによってはテスト担当者と本番環境への移行者が同じ場合もあった」(工藤部長)。それを厳密に分けることはなかなか難しい。特に「人数が少ない子会社が問題だった」(同)。子会社については最終的に、ログなどを利用して「いつ誰がどんな作業をしたか」を明確に証明することで、統制とした。
「数年前までシステム部員は20人いた。リストラで7人となったところで米SOX法対応となり、大変だった」。こう語るのは、ワーナーミュージック・ジャパン(WMJ)で米SOX法対応を担当したシステム部の藤野勲システム管理課課長兼開発課課長だ(図7)。
 |
| 図7●ワーナーミュージック・ジャパンが実施したシステム部門内の職務分掌 [画像のクリックで拡大表示] |
部員数減をカバーするため1人がさまざまな役割を担っていた。そこへ米SOX法への対応が指示され、各アプリで開発と運用を明示的に担当者を分けた。ただ、ある人がシステムAでは開発、システムBでは運用となると、開発と運用両方のアクセス権を持ち、「グレーゾーンが増える」(藤野課長)。そこで開発と運用の2チームを明確に分け、さらに各アプリが共通で利用するデータベースの管理者(DBA)は、開発チームの中に専任者を置いた。これで初年度の監査を通った。
米SOX法対応2年目の今年、新たな問題が生じた。部員が1人増えたが、新規開発の案件も増え、開発担当者が不足したのだ。DBAは開発のスキルを持つが、職務分掌のため開発はできない。結局、運用チームにDBAを置き、以前のDBAを開発に回した。ただ、DBAは特別なスキルを要する。「開発と運用に分けたときも部員のスキルセットが壁となったが、今回も徐々にDBAのスキルを上げるしかない」と、藤野課長は職務分掌の難しさを語る。
開発環境と本番環境を分け、厳密に職務分掌を実現した1社が、NISグループだ。同社では、VLAN(バーチャルLAN)を利用して論理的に分割。さらに、どちらの環境で作業する際にも作業時間や目的を記した「作業届」の提出を義務付けた。マシンルームへの入退出の記録と照合して、職務分掌としている。親会社米コビディエンの内部監査部門から環境の分離を指示されたタイコヘルスケア ジャパンは、日本IBMのオフコン「System i(AS/400)」が備える論理パーティショニング機能「LPAR」により、1つのきょう体を論理的に分離した。
