米SOX法(企業改革法)対応では、不正防止のために社員一人ひとりの役割と責任範囲を明確化する「職務分掌」の整備と実行が欠かせない。ヤンセン ファーマは、それにはERPパッケージ(統合業務パッケージ)のアクセス管理の徹底が不可欠と判断。約3年間の試行錯誤を通じて、アクセス管理の仕組みを整備した。

 「工場の出荷指示担当者が、出荷先マスターも登録できる」、「受注伝票の起票者が振り込み担当者を兼ねている」―。これらは、SOX法の監査で「内部統制に不備がある」と判断される典型例だ。前者では、工場の担当者が架空の出荷先を作り、そこに架空の出荷指示をして商品を横領する。後者では、代金を自分の口座に振り込む、といったリスクが存在するからだ。

 これらのリスクを軽減し、内部統制の仕組みを確立するには、「職務分掌(Segregation of Duties=SoD)」が欠かせない。これは、仕事上の立場を利用した不正や誤りを防ぐために、社員一人ひとりの役割や責任範囲を明確にすることを指す(図1)。

図1●ヤンセン ファーマは職務分掌を実現するために、ERPパッケージのアクセス管理方法を見直した
図1●ヤンセン ファーマは職務分掌を実現するために、ERPパッケージのアクセス管理方法を見直した

 SOX法対応の基本は、財務報告に影響を及ぼす可能性のあるリスクを予防あるいは低減するための対策(統制=コントロール)を立案し、実行することにある。統制には、リスクを未然に防ぐ「予防的統制」と、発生したリスクを発見し低減する「発見的統制」があり、SOX法監査では前者が重視される。「職務分掌は『予防的統制』の代表例。実現していて当たり前の統制として、監査で真っ先に確認される」と、ヤンセン ファーマ日本法人(ヤンセン)情報システム部でチーフ・コンプライアンス・オフィサーを務める輿水こしみず隆行氏は話す。

 SOX法監査では、職務分掌を実現するだけでなく、それが実現できていることを示す証拠が要求される。このため、職務にかかわる規定を示すドキュメントに加えて、「職務分掌が明確になった状態で、実際に業務を遂行したか」を監査時に証明する必要がある。

 ヤンセンを含む米ジョンソン・エンド・ジョンソン(J&J)グループ企業は、独SAPのERPパッケージ(統合業務パッケージ)「R/3」を利用して、会計や販売、購買など財務報告の作成にかかわる業務を行っている。このため、「ERPパッケージのアクセス権限を規定に従って設定することが、職務分掌の証明に当たる」(輿水氏)。

R/3のアクセス権限を詳細に設定

 ヤンセンのシステム部門は、会計、販売、購買といった、財務報告の作成にかかわる基幹業務に携わるR/3の利用者約220人を対象に職務分掌の明確化を進めていった。

 ヤンセンのシステム部門は経理や営業などの利用部門と協力して、R/3を使う社員一人ひとりに対して、「A氏が利用できる機能は『購買依頼』『購買発注』『支払い』」、「B氏が利用できるのは『購買依頼』と『在庫管理』」などとアクセス権限を設定。利用部門がアクセス権限を追加・変更する際には、「現在、どのようなアクセス権限を持っているか」や「アクセス権限を追加・変更すると、J&Jグループが定めた1万2000項目の職務分掌違反に該当する問題が発生しないか」を、利用部門自身で確認できるようにしている。システム部門は利用部門からの変更依頼通りに、権限を設定する。こうした仕組みを試行錯誤しながら約3年で作り上げた(図2)。

図2●ヤンセン ファーマは約3年をかけ職務分掌の確立に取り組んでいる
図2●ヤンセン ファーマは約3年をかけ職務分掌の確立に取り組んでいる

 今年6月まで、アクセス管理はシステム部門が担当していた。利用部門がアクセス権限の変更・追加を依頼すると、システム部門はそのつどチェックリストに従って職務分掌違反がないかを確認せざるを得なかった。

100個の職務分掌違反を検出

 ヤンセンが職務分掌の明確化に着手したのは2004年1月。同社は03年11月からSOX法対応のためにプロジェクト・チームを設置し、対応範囲の見極めを進めていた。J&Jは04年12月期決算からSOX法の適用対象となった。

 当時のヤンセンは、「業務効率を優先してR/3のアクセス権限を決めていた」(輿水氏)。基本的に「工場の生産管理部門」など部門単位でアクセス権限を設定しており、例えば工場の生産管理担当者は、「在庫の引き当て」と「出荷指示」という二つの職務を兼ねることができた。

 職務分掌を整備するに当たり、システム部門は、こうした職務分掌違反を見つけ出し、対処することから始めた。J&Jグループの内部監査部門である「コーポレート・インターナル・オーディット(CIA)」が、職務分掌を考慮して同時に与えてはいけないアクセス権限5000項目を示すチェックリストを作成。「CIAは、このリストに示された違反をすべてなくすことを求めてきた」と、輿水氏は説明する。

 チェックリストの項目は、「『購買依頼登録』と『変更』機能を利用する『購買依頼登録/変更』担当者は、『購買依頼承認』機能を利用する『購買依頼承認』担当者を兼務できない」といったもの。しかし部門単位でアクセス権限を決めていた当時のヤンセンでは、職務分掌違反になるアクセス権限を探し出すのが困難だった。

 輿水氏はアクセス権限のチェック作業を効率化するための策を、CIAに相談。CIAは、ベルギーのITベンダーCSIの「CSI Authorization Auditor(CSI AA)」と呼ぶR/3用のポリシー違反チェック用ソフトを推薦した。CIAはチェックリストをデータ化して提供しており、ヤンセンはこれを入手してCSI AAに搭載。R/3のアクセス権限の設定ファイルとCIAのポリシーをマッチングすることで、権限設定の違反を検出した。その結果、職務分掌違反に該当する設定が約100個、見つかった。

 システム部門はこの結果に従い、アクセス権限の設定を変更した。例えば、「請求書登録」と「支払い」を同じ購買部門の担当者が実施していたのを、「請求書登録」の担当者と「支払い」の担当者に分けた。

 人数に限りがあり、アクセス権限の設定変更だけで違反状態を解消できない場合は、問題が発生している部門内でこれまでR/3を利用していなかった担当者をR/3ユーザーとして登録。違反がある担当者の業務を新規ユーザーに担当させるよう、システム部門が利用部門に依頼した。結果的に、職務分掌を実現するためにR/3の登録ユーザーを20人分増やし、教育を実施した。

 こうした作業は、そう簡単には進まなかった。利用部門はシステム部門に対し、「なぜ、業務のやり方をわざわざ変えなければならないのか」、「業務効率が低下する」などの意見が出たのだ。システム部門はそのたびに、「SOX法の順守に欠かせない対策だ」と説得して回った。その結果、04年度の監査時には、「職務分掌違反となるアクセス権限設定はなくなった」と輿水氏はいう。