図5 正確な社員データが内部統制の基礎になる
図5●正確な社員データが内部統制の基礎になる
ファイザーは,人事システムの人事DBと基幹システムのアカウントDBを日次バッチで同期するように改修し,アカウントDBの正確性を高めた [画像のクリックで拡大表示]

 IT全般統制を有効に機能させるためには,アクセス制御は欠かせない。しかし,製薬会社ファイザーの崎田史也氏(CIT インフォメーション マネージメント部 部長)は,「アクセス制御よりも社員データの整備の方が優先順位は高い」と強調する(図5)。

 崎田氏が社員データの整備を最重要項目に掲げる理由は,「いくら社員ごとに精緻にアクセス制御を施しても,退職や人事異動があった時に速やかにアクセス権限を変更できなければ,内部統制が確立できているとは言えない」という考えからだ。

 とはいえ,6000人もの社員データを寸分の狂いもなく管理するのは至難の業である。米Pfizerからは,社員の情報に変更があった場合は24時間以内に最新状態にするようにとの要請があった。毎日6000人分の人事情報と社員データを比較すると相当の労力がかかってしまう。

 「なんとか,最新の社員情報とシステムにある社員データのズレを解消できないか」。その考えを基に目を付けたのが,人事システムのデータベースだった。退職や人事異動があった場合,人事部は必ずシステムのデータベースに反映している。そこで,人事データベースの社員データと基幹システムの社員データを同期させることにした。具体的には,日次のバッチ処理で,人事データベースにある社員データを,アカウント・データベースにレプリケーションしている。

 IT全般統制が機能していることを証明するために,各システムのIDやパスワードの管理状況を細かく記録して報告するのは手間がかかる。そこでファイザーは,シングル・サインオンを導入した。「シングル・サインオンを導入することで,各システムのアクセス制御が適切に実施できていることの証明が簡素化できている」と語る。ただし,なりすましなどのリスクも高まるため,自社のセキュリティ・ガイドラインに従って,見破られにくいパスワードにする,定期的にパスワードを変更する,などの対策を施している。

開発と運用を切り分ける

図6 情報システム部門は,システムの開発・運用プロセスを整備する必要がある
図6●情報システム部門は,システムの開発・運用プロセスを整備する必要がある
ユーザー企業から開発や運用を請け負うベンダーも,内部統制の仕組みを文書化し,ユーザー企業に提出しなければならない [画像のクリックで拡大表示]

 IT全般統制において,アクセス制御と並んで必要になるのが,プログラムの開発や保守,運用のプロセスが適切に定められ,運用されているかを証明することだ(図6)。

 まっ先に情報システム部門が取り組むべきなのは,職務の明確な切り分けである。具体的には,開発・保守と運用の担当者を分けることだ。プログラム開発者と運用者が同一人物である場合,誰にも気付かれずにプログラムを書き換えることが可能になってしまう。企業の資金や在庫などにかかわるプログラムが書き換えられれば,売り上げや利益に影響する。職務を明確に分離するのは,こうしたリスクに対処するためだ。

 とはいえ,情報システム部員数の関係で,担当者を分けられない場合もあり得る。そうした場合は,プログラムに変更がないか,上長が定期的にチェックして,チェック結果を記録しておくといった代替策も考える必要があるだろう。

ベンダーにも文書提出を要求

 次にすべきは,開発や保守,運用の各プロセスを文書化することだ。文書は,開発プロセスならば,既存の開発方法論やプロジェクト管理方法論をベースに作成することが多い。既存の情報システムが正しく開発・運用できていることを証明するために,システム仕様書やテスト計画書,テスト結果も証拠として用意しておく必要がある。

 トーマツの丸山氏は,「いくら情報システムが正しく動いていても,仕様書やテスト結果など,それを示す文書がないと監査人に証明できない。情報システムに関する文書に抜けや漏れがないか,今からチェックしておく必要がある」と指摘する。

 SOX法に対応する企業から,開発や運用を請け負っているITベンダーも,業務の内部統制を確立し,有効に機能していることを委託元の企業に証明しなければならない。この場合,ITベンダーが日本版SOX法の対象企業かどうかは関係がない。

 ニューヨーク証券取引所に上場している金融サービス業のニッシンは,システム開発や運用を委託しているNECに対し,内部統制が確立できていることを証明する文書の提出を求めた。

 例えば,既存システムに変更を加える場合,NECからニッシンへ承認を求めるという単純な業務フローではなく,NECのエンジニアが上長に変更申請を出し,その上長の承認後,さらにニッシンの承認を経て取り掛かるといったNEC内部の業務プロセスにも踏み込んだものだ。

 加えて,どのような細かい変更だったとしても,内容や上長の承認を得たかをすべて文書で提出してもらうことにした。ニッシンの高瀬氏は,「障害発生時に,誰に電話して何を報告するといった電話連絡網に至るまで文書にした」と話す。また,ニッシンのシステム開発や運用を担当するNECの社員に非接触ICカードを貸与し,誰がデータセンターへ入室したかも正確に管理することにした。

次回へ