多くの手間と時間を要する内部統制の整備では、いかに作業を効率化するかがカギを握る。ソニー生命保険は米SOX法(企業改革法)対応の一環としてIT全般統制に取り組む際に、セキュリティ基盤など既存の仕組みを可能な限り流用し、作業の効率化を図った。
「できる限り既存の取り組みを生かすよう心がけた」。ソニー生命保険でシステム運用部門を統括する、河村芳樹 業務プロセス改革本部情報システム2部統括部長は、こう話す。同社は米SOX法対応のために、2年にわたりIT全般統制に取り組んできた。
ソニー生命がSOX法の対象となる24システムの開発や運用のプロセスを評価したところ、SOX法対応のために必要な統制(コントロール)は合計191あった。その統制の多くを、同社が個人情報保護法対策時に整備したアクセス管理システムなど、既存の仕組みを使って実現した。適用初年度の2007年3月期を前に対応作業はほぼ終了しており、現在は監査を担当する新日本監査法人による最終的なテストを受けている段階である。
本社が作業手順や文書のひな型を提供
ソニー生命がIT全般統制の整備に着手したのは、05年1月。ニューヨーク証券取引所に上場するソニー本社が米SOX法の対象企業であり、ソニー生命は「グループの総資産の半分以上を保有する」(ソニー生命広報)ことから、対応を進める必要があった。
これに先立ち、ソニー本社ではCICR(Corporate Internal Control Re-view)推進室が中心になり、SOX法対応を推進。ここが本社および連結対象会社向けに、SOX法対応に関する全体の手順や、文書化を支援するテンプレート(ひな型)を提供するほか、作成した文書の評価や教育などを支援している。「CICR推進室は、SOX法対応をスムーズに進めるうえで大きな役割を果たした」と、河村統括部長は振り返る。
勘定科目から対象システムを選別
とはいえ、ソニー生命自身でやるべき作業も少なくなかった。CICR推進室はあくまでも支援役で、実際の作業は各社が担当する必要があったのに加え、「連結対象会社はそれぞれ業種や業態が異なり、標準化には限界があった」(河村統括部長)からだ。
同社はまず、05年1月から3月にかけて、SOX法対応の対象システムを選定した。同社経理部がCICR推進室と協議し、SOX法対応の観点で、どの勘定科目を重視すべきかを決めていった。「CICR推進室のメンバーは保険業のプロではない。経理担当者の意見を入れることが不可欠だった」(同)。
その結果、「仮受金」や「仮受金二回目以降保険金」などの勘定科目を重視することに決定。これらを扱うシステムを、SOX法対応の対象とした。選ばれたのは、経理システムのほか、入金にかかわる新契約システムといった24のシステム。「財務報告にかかるという条件ではもっと少ないかと思っていたが、意外と多くのシステムが該当した」と、河村統括部長は話す。
ソニー生命はこれらのシステムについて、システム名やシステムの概要、ホスティング場所、システム・オーナー、外部委託先などを記載した一覧表を作成した。一覧表のフォーマットも、CICR推進室が作成した。
 |
| 統制の対象と統制のポイント |
83のリスクを洗い出す
続いて05年4月から6月にかけて、24システムに関する文書化を進めた。各システムごとに、開発・運用にかかわる四つのプロセスに関して、業務記述書、業務フロー図、リスク・コントロール・マトリックス(RCM)の3文書を記述していった。
四つのプロセスとは、開発関連の「プログラム開発」(サブプロセスの数は8)と「プログラム変更」(同6)、運用関連の「コンピュータ・オペレーション」(同5)と「プログラムとデータへのアクセス」(同8)。それぞれに関して、財務報告に関連するリスクと、それに対する統制を洗い出していった。その結果、83のリスク、それに対する191の統制をRCMにまとめた。
実際の作業は課長職2人が担当。業務記述書はWordで、業務フロー図とRCMはExcelで作成した。CICR推進室はこれら3文書のテンプレートを用意しており、2人はこれを使うことで1.2人月の工数で作業を完了した。
河村統括部長は、2人が作成した文書のレビューを担当した。文書化に先立ち、同氏は自ら本社の経理部やCICR推進室に出向き、テンプレートを利用して文書をどのように記述すればよいかを学んだ。
個人情報保護法対策を生かす
文書化を通じて、「これまでのシステム開発や運用に関する当社の取り組みを生かすことができると実感した」(河村統括部長)。
その典型が、個人情報保護法対策として整備したセキュリティの仕組みである。例えば、「プログラムとデータへのアクセス」プロセスの「不正ユーザーを排除する」統制は、パソコンのログイン用ICカードや情報漏えいを防止するための社内ファイアウォールで実現した。
同じプロセスの「バッチ・スケジュールが逸脱した場合の発見/調査/処理を実施する」統制は画面操作を記録するソフトで、「社外ネットワークから侵入する不正ユーザーを排除する」統制はSSL-VPNで実現した。これらも個人情報保護法対策の仕組みである。
 |
| 図1●ソニー生命が、IT全般統制に関する作業をスムーズに進めることができた主な要因 [画像のクリックで拡大表示] |
このほか、既存の会議体やアクセス管理の仕組みもSOX法対応の統制として流用した。前者としては、システム部門が主導して毎月実施している「障害対策検討会」が該当する。これを「コンピュータ・オペレーション」プロセスにおける「本番環境のすべての問題が最終的な解決に至るまで記録・追跡されることを保証する」統制として利用している。
障害対策検討会は、ネットワークやOSなどシステム基盤に生じた障害の再発防止を目的に、システム部門やリスク管理部門が開催しているもの。例えば、「平日午前中のメインフレームの応答速度が悪化傾向にある」という障害が発生した際に、どの部門が対応するかに加えて、「翌々月までにCPUを追加する」といった具体的な対策を決める。その後の進捗報告も義務付けている。この活動が、そのままSOX法対応に役立っているわけだ。
アクセス管理の仕組みとは、シングル・サインオンの基盤と、それに連動するアカウントの統合管理システムのこと。どちらも04年から運用している。SOX法対応では、これを「プログラムとデータへのアクセス」プロセスにおける「アクセスの手続きが標準化され、有効に働いていることを保証する」統制として使っている。
これら一連のIT全般統制の作業は、ITガバナンスのフレームワーク(評価基準の体系)である「COBIT」に準拠している。これもCICR推進室の指示によるものだ。
ソニー生命はIT全般統制と並行して、04年4月から業務処理統制を、同7月から全社統制を進めている。「これまで監督官庁の審査に加え、自主的にシステム監査を実施してきたこともあり、全体として大きな問題もなく作業を進めることができた」と河村統括部長は話す。
(次回へ)
