ミサワホームのシステム部門は、全社プロジェクトに先駆けて日本版SOX法への対応を進めている。IT全般統制に関する外部の評価サービスを利用した結果、「最新の業務内容が文書に反映されていない」など五つの指摘を受けた。それらに1年をかけて対応していく。

 住宅メーカー大手であるミサワホームのシステム部門が、日本版SOX法対応を始めたのは昨年末。まず同法に関する情報収集を進め、今年4~5月に国内の大手ITベンダーが提供する評価(アセスメント)サービスを使い、同部門におけるIT関連の統制が整備されているかを調査。2007年3月の完了をメドに修正作業を進めている。

 同社が全社的な日本版SOX法対応プロジェクトを立ち上げたのは、今年7月。持ち株会社のミサワホームホールディングスが東証1部などに上場しているため、傘下のミサワホームも日本版SOX法への対応が必須になっていた。プロジェクトには、システム部門やコンプライアンス(法令順守)担当部門、監査部門、経理部門などが参加している。

 システム部門が、全社プロジェクトよりも半年以上早く日本版SOX法対応に着手したのは、作業を前倒しにして効率よく進められるようにするため。システム部門はプログラム開発までは手掛けていないが、基本的に“自前主義”を貫く。システムを新規開発する際は基本設計まで担当し、稼働後は自社内にサーバーを設置して運用する。これを40人弱の部員でこなしており、「普段のシステム開発や運用の作業でほぼ手一杯」(北上義一情報システム部長)の状況だった。

COBITに基づくサービスを使って調査

 ミサワホームのシステム部門が4~5月に実施したのは、IT全般統制の現状を把握する作業である。ここで、内部統制の観点で開発や運用・保守の体制が整備されているか、すなわちITガバナンスを確立できているかを確認していった。

 同社が日本版SOX法対応の対象としているのは、会計や販売など4システム。個々のシステムにかかわるIT業務処理統制を手掛ける前に、システム部門全体の業務に関するIT全般統制を整備すべきだと判断した。

 これに先駆け、外部委託先ベンダーの1社(名称は公表していない)が今年2月に、「ITガバナンスの成熟度を測定する評価サービスを始めたので、利用してほしい」と売り込んできた。同社はこのサービスを利用して、IT全般統制の状況を確認することに決めた。第1号ユーザーだったこともあり、料金は「通常の半額以下」(北上部長)。約150万円だったとみられる。

 システム部門はこの評価サービスにより、「外部委託先管理」や「情報システム部門の業務に必要な規定類の作成」など、約50項目の現状を調べていった。これらの項目は、ITガバナンスのフレームワーク(評価基準の体系)である「COBIT」にのっとっている。

 実際の作業は、システム部門の担当者が調査票に回答を記入することで進めた。並行して、ITベンダーの担当者3人が、システム部門が利用している文書などを直接、確認していった。

統制の対象と統制のポイント
統制の対象と統制のポイント

「文書体系の不在」を指摘される

 2カ月にわたり評価サービスを受けた結果、ミサワホームは大きく五つの指摘を受けた。指摘事項を見て、北上部長は「この程度なら1年程度で修正できる」と感じたという。

 ミサワホームは以前から、経済産業省が公表している「システム監査基準」を基にチェックシートを作成し、システム開発や運用・保守の工程を管理していた。評価サービスによる指摘事項が少なくてすんだのは、こうした土台があったからである。

 五つの指摘のうち、三つは対応策が明確だった(図1)。「文書体系を備えていない」はその一つ。ここでいう文書体系は、「システム部門がどのような文書を作成しているか」の全体像を示すもの。システム部門では、基本設計書や運用手順書、障害時の復旧手順書など、「必要なドキュメントをほぼそろえていた」(北上部長)が、文書体系は用意していなかった。情報システム部 企画・運用グループの高橋幹雄マネージャーは、この指摘に関して「第三者の目を意識することの大切さを改めて実感した」と振り返る。同社は文書体系を新たに作成する考えだ。

図1●IT全般統制に関する評価の結果、ミサワホームが受けた主な指摘とそれに対する同社の方針
図1●IT全般統制に関する評価の結果、ミサワホームが受けた主な指摘とそれに対する同社の方針

 このほか、「業務フローなどの文書に最新の業務内容が反映されていない」、「システム部門が全社的な情報セキュリティの管理部門を兼ねており、管理体制が不十分な恐れがある」という指摘もあった。前者に対しては文書の更新頻度を高める、後者には組織体制を見直すことで対応していく。

二つの指摘に対して対応策を検討中

 問題は、「開発環境と本番環境が物理的に分割されていないシステムがある」、「システム部全体で外部委託先の選定基準がない」という二つの指摘にどう対応するか。どちらも内部統制の整備を優先すると、現状の業務の品質に影響を与える恐れがあり、具体的な対応策を立案できていない。

 前者で指摘されたシステムに関して、システム部門は開発環境と本番環境を論理的に分割して運用している。このシステムでは特に処理性能を重視しており、「開発時に本番と同じ環境で性能を評価しないと、実運用時に問題が生じる可能性が高い」というのが理由だ。しかし評価サービスでは、「システムを論理的に分けるのでは不十分。物理的に分離しないと、開発担当者と運用・保守担当者が同じサーバーを操作できる恐れがあり、職務分掌違反につながりかねない」と指摘された。

 だからといって指摘に従うと、内部統制上のリスクは低くなる一方で、システムの性能問題が発生するリスクが高まる。この点をどう解決すればよいのか、システム部門は現在も考慮している最中という。

 後者については、新たに外部委託先の選定基準を作成すれば解決できるように思えるが、「問題はそう単純ではない」と北上部長は見る。

 というのも、部門全体の選定基準を作ると、かえって不都合が生じる可能性があるからだ。例えば、ミサワホームは全国各地に関連会社を持つ。だからといって、選定基準に「全国のグループ会社のシステムを保守できること」を条件として含めると、規模の大きいベンダーにしか依頼できないことになり、「新規ベンダーに依頼しにくくなるケースが生じる」(北上部長)。この点についても、対応策を検討しているところだ。

 ミサワホームは以上の5点を中心に、IT全般統制の整備を進めている。費用は外部のアドバイザ費用などを中心に1000万円弱で、「日本版SOX法への対応」として今年度予算に計上している。来年3月までに修正を終え、その結果をシステム部門自身で評価していく考えだ。

次回へ