ここからは,米国のSOX法に対応したヤンセン ファーマとファイザー,ニッシンの3社の事例を基に,情報システム部員が優先的に実施すべき作業の具体例と,作業負担を少しでも軽減する方法を紹介する。日本版SOX法はまだ法案可決には至っていないが,財務報告の信頼性を確保するという目的は米国のSOX法と同じであるため,参考になる点は多いはずだ。
10カ月でSOX法にスピード対応
Johnson & Johnson(J&J)グループの日本における製薬会社であるヤンセン ファーマは,親会社の米J&Jが米国で上場しているため,米国のSOX法対応を迫られた日本企業の一つだ。
2003年11月に,J&Jグループ各社のSOX法担当者が米国に集められ,グループの方針が伝えられた。方針は2004年1月から10カ月間で,実運用(図3のステップ3に相当)までを終了せよというものだった。コンサルティング会社の協力も仰いではいけなかった。ヤンセン ファーマのSOX法責任者である輿水隆行氏(情報システム部 Chief Information Compliance Officer)は,「正直,10カ月では相当短いと感じた」という。
リスク診断シートを活用
通常3年程度かけるプロセスを,輿水氏を先頭とするプロジェクト・チームは,10カ月でやりとげることに成功した。その秘訣の一つが,J&Jグループが用意したリスク診断シートと,RCMのテンプレートを利用したことだった。リスク診断シートは,情報システム部門を含むすべての業務について,考えられるリスクが書き出してある。質問数は合計で1000を超える。
情報システムに関する質問では,(1)SAP R/3のセキュリティについて,(2)データベースのセキュリティについて,(3)プロジェクト・マネジメントについて,(4)変更管理について,(5)ディザスタ・リカバリについて――,という五つの分類ごとに,考えられるリスクへの対策があるかどうかの記述がある。
例えば,プロジェクト・マネジメントについての質問では,「プロジェクトで用いられる開発方法論や運用方法論は,正式に文書化されているか」「その質問の回答がYesならば,その方法論はどのぐらいの期間,適用されているか」「新しいアプリケーション導入プロジェクトの進捗管理に,プロジェクト管理ツールが利用されているか」といった質問が並ぶ。
2004年4月末までの4カ月間をかけてリスク診断シートに回答し,業務プロセスの中で発生し得るリスクの洗い出しと,対処法の策定(図3のステップ1からステップ2の前半までに相当)を実施した。「回答する分量は多かったが正しい方向で対策できた」(輿水氏)。
権限チェック・ソフトを導入
2004年5月から10月末の6カ月間は,リスクへの対処と運用テスト,実運用(図3のステップ2の後半からステップ3までに相当)を実施した。
 図4●ヤンセン ファーマが作成したRCM(リスク・コントロール・マトリックス)の一例 [画像のクリックで拡大表示] |
まずリスク診断シートの回答結果を基にリスクを洗い出し,そのリスクをRCMに書き出した(図4)。RCMには,「処理」「統制目標に関する質問」「統制活動」「相互に参照する統制文書」などの項目があり,このRCMに書き込まれたリスクごとに対策を講じた。
例えば「SAP R/3のアカウント発行」という業務プロセスのリスクおよび対策では以下のように改善を実行した。これまでアカウントの申請があった場合は,アカウント申請,申請者の上長による承認,アカウント発行担当者が発行という業務プロセスだった。しかしこの方法では,上長が勘違い,または申請者と結託して,不適当な権限が与えられる可能性もある。そこでアカウント発行担当者が,申請者の所属部署や役職と,申請している権限を入力すると,その組み合わせがリスクを生むものでないかどうかをチェックできるソフト「CSI Authorization Auditor」(ベルギー Control Solutions International Belgiumが販売)を導入し,対処することにした。
ここで言うリスクとは,例えば経費の支払い担当者に支払い先のマスター・データを変更できるアカウントを発行すると,支払い先を自分の口座に書き換える,といったものだ。「権限の妥当性を判断できるソフトウエアがなかなか見つからず,最後はベルギーから取り寄せた」(輿水氏)。
このようにRCMに記載したリスクに対し,日次でメンバーのタスクを管理しながら丁寧に対処していくことで,期日の2004年10月までには完了した。「米国本社の監査人からも,問題なしのお墨付きをもらえた。間に合ってよかった」と輿水氏は振り返る。
(次回へ)
