グローバル経営をめざしたシステム統制の確立
(PDF文書,754KB)


【要旨】

1. 目的
わが国では、情報システムのシステム監査やシステム統制は金融業界が先達となって推進されており、製造業はこれからの状況にある。ここ数年、当社はインターネット/イントラネットの普及、PCの1人1台化、関連企業ネットワークのオープン化、情報システムの開発・運用のアウトソーシングといった情報処理方式の改革を進めており、これに併行してシステム統制の基盤整備を進めてきた。今回、FORD社のシステム監査を受ける機会を得、世界規模でビジネス活動を進めている同社の監査基準に対応できたことで、これまでの施策と将来のシナリオが確認できたので、その事例を紹介する。

2. システム統制の概要
世界規模のビジネス活動、E-ビジネス、等、当社ではシームレスなビジネス協業や顧客/株主に対する企業価値の向上活動を進めている。セキュリティ保証の取り組み姿勢が顧客や株主の企業評価にまで影響を与えはじめてきたとされるネット時代に向けて、システム部門は適切なシステム統制を通して経営に貢献することに目をむけるべきと考えている。折から、社内では、従来の会計監査に加えてグローバル・スタンダードに基づく業務監査も行なわれてきている。こうした中で、システム部門は人材を監査部門に送り込み、培ってきた情報システムのセキュリティに関する情報技術(IT)のコンサルをはじめとして、システム統制の整備を監査部門と連携する形で進めている。
(1)システム統制を支えるしくみは、業務標準/ツール/体制を軸として整備・強化している。
(a)統制システムとして、システム統制ポリシーを制定し、ポリシーに基づいたシステム開発・運用標準の整備を行なった。主要なものとして、アクセスコントロールと職責分離による業務の実施、及びアプリケーション・コントロールがある。
(b)システム統制ポリシーに基づいた、認証システムを整備する。
(c)システム部門に、業務標準及びシステム統制の推進・統括・管理を行なう専任チームを設置・推進する。
(2) 統制システムの整備活動は、本部プロジェクトを編成し、短期と中期の整備事項にわけて推進している。
(a)システム統制の整備は社内部門の業務監査と連携して実施し、データセンター(基幹系アプリケーション・システム)の対策を完了した。引き続き、工場管理システム等の分散システム、さらにユーザ部門に設置のPC、関連会社まで整備の対象を拡大する。
(b)システム・オーナーの制度を採りいれた。ユーザ部門とシステム部門の役割責任を明確にすることでシステム統制に求められる両者の独立性を保つとしている。システム・オーナー制度は、従来のユーザ部門とシステム部門の良い意味での混然一体型の運営部分をも改めることになるが、システム統制の基本的な事項として進めている。
(c)システム統制の軸は会計監査基準に対応する機密面や安全面を主体にしたものから始め、業務とシステムの関わり度合いの増加に合わせてシステムの有用性を狙うリスク・マネジメントに進化させるとしている。

3. 展開のポイント
システム統制は、効果と投資のバランスをとりながら整備活動を推進してきた。整備にあたっては対象を総花的にせず、まず、核になる基点・拠点を定め順次に展開を行ない、更に、システム統制はネガティブ/オーバーヘッドな業務とされがちなので、推進エネルギーを他にも求めて進めている。
(a)ナベよりはザルでよしとまずは割り切る :統制のための業務標準の整備は、フレームの確立を優先し、詳細は順次に行なうことで、整備期間と費用のセーブができ、監査ではメジャーの不適合を回避する。
(b)得意領域から攻め、既存資産の活用を徹底する :対象部門はシステム部門からユーザ部門へ。対象システムは、メインフレーム、エンタプライズ・サーバーからローカル・サーバー、クライアントへと拡張する。対象業務は、運用・開発プロセスから企画プロセスへとシステム化活動の上流へと移行する。
(c)利用できそうな動きを読み外圧として活用する :推進の原動力として、ISO9000,ISO14000,会計・業務監査、トップ・マネジメント号令、アウトソーシング、等がある。

4. 実績/計画
(a)業務標準の整備、FORD社監査基準によるシステム部門のシステム監査、指摘事項の改善実施 99/4〜00/3
(b)システム統制の長期計画に従い順次実施 00/4〜

5. 評価
業務標準の整備とデータ・センターの対策を完了し、システム統制の管理体制が確立できた。システム統制の到達レベルについても、FORD社監査によってメジャーな不適合が発生するリスクが回避できていることが客観的に掌握できた。
更に、データ・センターの災害時復旧計画の導入計画、及びシステム統制を効率的に行なうための整備と改善の長期シナリオ、ができた。

【キーワード・参考文献】
システム統制、システム監査、アクセス・コントロール、職責分離、システム監査基準、災害時復旧計画、セキュリティ