この公開草案が「日本版 SOX 法: J-SOX 法」になるかの論議はさて置き、既に SOX の対応を進められている SEC レジストラントの国内企業が最も注力しているようなのが、職務の分掌 (Segregation of Duties: SoD) になります。いろいろと見聞きする中で、これがどうやら SOX の遵守、内部統制を確立する上で最も重要でやっかいな要素になりそうです。職務分掌は、財務データを扱う各プロセスにおける担当者の役割の明確化、権限の分離を意味します。例えば、入力・承認時の不正や誤謬を防止するために、受注システムと売掛金システムの担当者は、別人でなくてはいけません。つまり、IT の言葉で焼き直すと、その人の役割に基づいたアクセス管理 (Role Based Access Control: RBAC) が必要なってくるわけです。

「ふ～ん、こんなの出来てて当たり前じゃん。」

っておっしゃる方もいるかもしれませんが、その認識はかなり甘いと思われます。その当たり前のことを、大きな企業体 (しかも関連企業含む) で、膨大な業務プロセスがあって、ヘテロなシステム環境下で、実際にやろうと思うと死ぬほど大変になります。各システムのアクセス権限リストを１対１で照らし合わすだけならまだしも、それが複数のシステム間で n 対 n でのリストの照らし合わせが必要になった場合、どうチェックすればいいのでしょうか？

「ふ～ん、うちは ERP システムが一つのパッケージで動いているから、その中で SoD させるだけでいいんじゃん。」

本当にそうであれば、SAP や Oracle EBS のアドオン・モジュールとなる Virsa や Approva などの製品を部分最適的に導入するだけでいいのかもしれません。ただ、SOX に準拠しなければいけない企業の多くは、単一のパッケージで財務システムが動いているかというと、そうではありませんし、SOX 404 条が対象とするのは、財務システム (= ERP の会計モジュール) に限りません。SOX は財務報告書を作成する上での元ネタとなる、おカネを扱う全てのシステムを対象とします。つまり CRM、SCM、他の ERP モジュール、(そしてさらには、ごく一般的な情報システム群) を含む企業活動で必要なほとんどのシステムを対象にするわけです。また、それらを稼動させる OS、Database に対するシステム・オーナー、運用者、開発者の権限の SoD も実施する必要があります。

また、実際こんな調査結果も出ています。

「いいよ。うちはなんら売上を生まない内部統制に対して、新規の IT 投資をしないから。人手を介して対応するよん。」

確かにそのような選択肢もあるかと思います。但し、四半期ごとに求められる、半永久的な監査に対する作業を本当にマニュアルでやり続けるのでしょうか。考えるだけでゾッとします。その人員に関わるコストは中期的に見れば馬鹿にならないですし、また訳も分からず、毎度目視でアクセス権限リストをチェックさせられるプロセス・オーナーの仕事に対するモチベーションを考えてみてください。そして何よりも、信用はお金には替えられません。

さらに、日々微妙に変わる業務プロセスや人の採用・異動、それに伴う「いつ誰がこのシステムに対するアクセス権を付与したのか」の記録、つまり Change Management にどう対処し、どう SoD を実現するのかという問題もあります。また、アクセス権限の管理だけでなく、実際に「誰が、どのシステムにアクセスしたのか」を把握する必要もあります。まぁ、前者 (変化に対する SoD の自動化) は重要かもしれませんが、後者 (アクセス・ログ管理) は二の次かもしれません。SOX は Proactive かつ Preventive な予防措置的コントロールを求めてますので、アクセス管理とそのログの収集の優先順位は少し低くなります。より重要なのは、"Who did access what?" より "Who has access to what?" になります。

また、おカネを扱うシステムの一部を外部の企業に委託 (いわゆる ASP やアウトソース) しているのであれば、もしかしたら、その委託業社との内部統制レベルの整合性をとる必要が出てくるかもしれません。その委託先に SAS70 の提出を求めて、それがすぐ出てくればいいのですが。。。

さらに、こんなご意見；

「IT ベンダー風情が、自社の製品を売りたいがためにやって来て、分かっちゃいないのに J-SOX だの内部統制だの昨日今日覚えてきた言葉で煽らないでよ。実際やっているこっちは大変なんだよ。」

はい、おっしゃる通りです (すみません)。なんせ SOX ってば、天下の悪法って呼ばれてますし、実際ご担当されている方は本当に大変です。。。一方で、どことは言いませんが、外資系ベンダーの中には、訳も分からずただ煽っているだけの輩がいるのは事実です。この分野の現状を分かっていて、信用できるところと話をするべき、と思いますし、本当にツール (IT) を使ってご担当の皆さんのお仕事を楽にできるソリューションを提供できる会社は少ないと思います。Year 1 開始は目前に迫っていて忙しいかと思いますが、お時間ある時に是非サンにお声掛け下さい！　きっと実のあるお話が出来るかと思います。

と言うわけで、今いろいろ騒がれている内部統制に関する問題提起をしてみましたが (やりすぎ？)、今回はこの辺で。システム監査の視点からの意見は CISA の下道さん、それと Identity Management (ID の管理) や Identity Auditing (ID の監査) の技術的な観点からのコメントは工藤さんにお任せするとします。