ファイザー日本法人は、米本社のSOX法対応に歩調を合わせ、2003年12月から同法対応に取り組んでいる。IT部門は、これまでに3度の内部監査を受け、改善指示にも応えてきた。作業履歴を残すための手順は増えたが、運用ミスが減るなどの効果も出始めている。

  「米SOX(サーベンス・オクスリー)法が求めているのは、何をするにも計画を立て、それが計画通りに実施され、その経緯を後から確認できることだ」―。ファイザー日本法人のシステム運用管理部門、CIT インフォメーション マネージメント部の崎田史也部長は、これまでに3度の内部監査と2度の外部監査を受けた経験から、SOX法の趣旨をこう説明する。

RCM作成時間は延べ400時間

 ファイザー米本社は、2004年11月に適用が始まったSOX法に対応しなければならない。日本法人も03年12月には、プロジェクト・チームを組んでSOX法対応に取り組んだ。

 情報システムにおいて、SOX法対応の対象になったのは、人事や経理、物流などの五つ。各業務システムに潜むリスクとそれへの対策を文書化する「RCM(リスク・コントロール・マトリクス)」の記載項目などとともに、米本社が指定してきた。

 プロジェクト・チームは、米本社でSOX法対応の説明を受けたものの、当初は「RCMに何を、どのレベルで記入するのかすら判断できなかった」(同社ビジネステクノジー・ジャパン プログラム・オフィスの野島英蔵予算管理課長)という。外資系大手コンサルティング会社から記入方法のアドバイスを受け、対象システムの運用状況をRCMに記述した。

統制対象と統制のポイント[画像のクリックで拡大表示]
統制対象と統制のポイント

 RCMの作成では、システムごとに担当者を決めた。担当者は標準業務手順書(SOP)を読み込み、手順書と実際の作業が合致しているか、作業の実施記録がメモで終わっていないかなどを確認した。以前からシステム監査を受けていた同社は、SOPなどを整備してきた。それでも、RCM作成には延べ約400時間がかかった。

 04年8月には、米本社から十数人の監査担当者が来日。内部監査を実施し、改善事項を指摘した。改善期間をおいた04年11月には監査法人による外部監査を受けた。そこでは、「内部監査の指摘事項が改善されているかを中心に監査された」(CITインフォメーション マネージメント部の徳留忍情報品質管理課長)という。

 翌年には米本社からRCMの刷新が求められる。ファイザー日本法人は毎年、RCM作成、内部監査、外部監査の流れを繰り返しているわけだ。

日本流の“なあなあ”は通じない

 年を追うごとに、内部監査での改善要求事項は減っている。3年目の06年は1項目だけだ。しかし監査内容は、「改善が進むにつれ、より深い対応を求められるようになった」(野島課長)。

 これまでの指摘項目を見ると、SOX法対応のポイントは大きく二つある。一つは、職務分離の徹底。崎田部長は、その厳しさを「性善説を前提に、個人的な信頼関係で仕事を依頼する“日本流”は、ことごとく通用しない」と話す。例えば、「アプリケーション保守は、内容を最も理解している開発者自身が担当したほうが効率的に思えるが、SOX法はこれを許さない」(同)。

 そのため同社は、IT部門のスタッフ全員を対象に担当業務を見直した。資材の購入依頼者と納品時の検品担当者を分けたり、開発環境から本番環境にプログラムを移行させるだけが職務の「ライブラリアン」を設けたりだ。

 だが単純に職務を一人ひとりに割り振るとIT部門の人員数が増えてしまう。そこでファイザー日本法人は、1人が複数の職種を兼務できる組み合わせを考えた。野島課長は、「人員増を招かずSOX法に対応するには、職務をどう組み合わせるかカギだ」と話す。例えば、「OSなど、担当するシステムの操作環境はできるだけ同じになるように割り振る」(同)などである。

 2点目は、業務の流れが後で確認できる証拠を残すことだ。例えば、「単純なハードの修理でも、業務担当者が作業依頼書を作成し、承認を受けなければ修理できない」(崎田部長)。その承認が確かなことを担保するために、印鑑も使えなくなった。「日付とともに直筆のサインが必要だと指摘された」(徳留課長)からだ。

 証拠を重視することは、システムの自動化に逆行するケースもある。例えば1年目の内部監査では、「退職者3人分のアカウントがユーザー管理システムに残っていた」ことが指摘された。そのため、ユーザー管理システムと人事データベースを連携し、自動的にアカウントが修正されるようにした。

図●ファイザー日本法人のIT部門における米SOX法対応の経緯[画像のクリックで拡大表示]
図●ファイザー日本法人のIT部門における米SOX法対応の経緯

 ところが、翌年の内部監査では、「アカウント発行の申請書に承認者のサインがないのは、承認行為がないのと同じ」との指摘を受けた。現在は、アカウントを自動的には変更せず、電子メールで担当者の承認を受けた後に変更するよう作業手順を変更している()。

業務のマニュアル化が進行

 日本流で合理化を進めてきたIT部門にすれば、SOX法対応は負担になるばかりのようにみえる。しかし、崎田部長は、「しっかりと対応すれば、しただけのメリットがある」と話す。

 同社が挙げるメリットの一つは、運用ミスの減少だ。業務プロセスが文書化され、作業手順マニュアルも整備されたため、「具体的な統計値はないものの、体感的にはバックアップやリストアなどにおける運用ミスは格段に減ってきた」(崎田部長)という。

 同じ理由から、障害復旧時間も短くなった。その一例が、ウイルス感染。グローバルなネットワークを持つファイザーでは、ウイルス感染を完全に防ぐのは難しい。以前は駆除対策に丸2日かかっていたが、今は「半日もあれば収束する。対策本部の設置から全社告知、社員が採るべき対策まで、全員がマニュアルに沿って行動するためだ」(崎田部長)。

 今後に期待するのが、外部委託による一層の業務効率化だ。業務プロセスを徹底して文書化できたことで、「業務の引き継ぎがスムーズになる効果が期待できる」(崎田部長)からだ。同時に、「この人でなければといった属人性が排除でき、コスト削減にもつながる」(同)とみている。

 ファイザー日本法人はSOX法対応のために、アプリケーションを変更したり、新システムを構築したりはほとんどしていない。「業務プロセスに焦点を当てるSOX法への対応は、運用体制の整備が中心だ」(崎田部長)。

 ただ今後は、業務効率を高めるため、「監査対象文書の電子化と併せ、証跡を自動取得する仕組みの導入なども検討してみたい」(野島課長)という。

次回へ