PR

ファイザー日本法人は、米本社のSOX法対応に歩調を合わせ、2003年12月から同法対応に取り組んでいる。IT部門は、これまでに3度の内部監査を受け、改善指示にも応えてきた。作業履歴を残すための手順は増えたが、運用ミスが減るなどの効果も出始めている。

 「米SOX(サーベンス・オクスリー)法が求めているのは、何をするにも計画を立て、それが計画通りに実施され、その経緯を後から確認できることだ」―。ファイザー日本法人のシステム運用管理部門、CIT インフォメーションマネージメント部の崎田史也部長は、これまでに3度の内部監査と2度の外部監査を受けた経験から、SOX法の趣旨をこう説明する。

RCM作成時間は延べ400時間

統制の対象・ポイント

 ファイザー米本社は、2004 年11月に適用が始まったSOX法に対応しなければならない。日本法人も03年12月には、プロジェクト・チームを組んでSOX法対応に取り組んだ。

 情報システムにおいて、SOX法対応の対象になったのは、人事や経理、物流などの五つ。各業務システムに潜むリスクとそれへの対策を文書化する「RCM (リスク・コントロール・マトリクス)」の記載項目などとともに、米本社が指定してきた。

 プロジェクト・チームは、米本社でSOX法対応の説明を受けたものの、当初は「RCMに何を、どのレベルで記入するのかすら判断できなかった」(同社ビジネステクノジー・ジャパンプログラム・オフィスの野島英蔵予算管理課長)という。外資系大手コンサルティング会社から記入方法のアドバイスを受け、対象システムの運用状況をRCMに記述した。

 RCMの作成では、システムごとに担当者を決めた。担当者は標準業務手順書(SOP)を読み込み、手順書と実際の作業が合致しているか、作業の実施記録がメモで終わっていないかなどを確認した。以前からシステム監査を受けていた同社は、SOPなどを整備してきた。それでも、RCM作成には延べ約400時間がかかった。

 04年8月には、米本社から十数人の監査担当者が来日。内部監査を実施し、改善事項を指摘した。改善期間をおいた04年11月には監査法人による外部監査を受けた。そこでは、「内部監査の指摘事項が改善されているかを中心に監査された」(CITインフォメーションマネージメント部の徳留忍情報品質管理課長)という。

 翌年には米本社からRCMの刷新が求められる。ファイザー日本法人は毎年、RCM作成、内部監査、外部監査の流れを繰り返しているわけだ。

日本流の“なあなあ”は通じない

 年を追うごとに、内部監査での改善要求事項は減っている。3年目の06年は1項目だけだ。しかし監査内容は、「改善が進むにつれ、より深い対応を求められるようになった」(野島課長)。

 これまでの指摘項目を見ると、SOX法対応のポイントは大きく二つある。一つは、職務分離の徹底。崎田部長は、その厳しさを「性善説を前提に、個人的な信頼関係で仕事を依頼する“日本流”は、ことごとく通用しない」と話す。例えば、「アプリケーション保守は、内容を最も理解している開発者自身が担当したほうが効率的に思えるが、SOX法はこれを許さない」(同)。

 そのため同社は、IT部門のスタッフ全員を対象に担当業務を見直した。資材の購入依頼者と納品時の検品担当者を分けたり、開発環境から本番環境にプログラムを移行させるだけが職務の「ライブラリアン」を設けたりだ。