先日6月7日に成立した日本版SOX法(金融商品取引法)ですが、具体的な対応は何が必要でしょうか?求められるのは内部統制強化です。監査の実施基準は 10月くらいに出されそうですが、その前に当コラムではSAP社R/3を使用した場合において以下3つに分けて対策を考えて見ましょう。
① IT全般統制対策
プログラムの開発・運用プロセス、アクセス制御に対する内部統制を求められますが、R/3を使用している場合、標準機能に関してプログラム仕様書はいりません。ただ、業務カスタマイズ・マスタの設定、変更のプロセス制御および関連書類は必要です。具体的には各業務トランザクションへの権限設定(ロール)、入力値の設定(代入・チェック・ルール、与信設定など)、項目制御(各項目ステータス、トランザクションバリアントなど)など、プロセスフローに従って設定を統一化しましょう。せっかくの機能もバラバラであれば内部統制にはなりません。また検索ヘルプなど閲覧値の絞込みまで考えると追加開発も見越す必要があります。
② IT業務処理統制
業務プロセスの一部を構成する情報システムを明確にする必要がありますので業務プロセスを実務とシステムの連携がわかるようにフローを書きましょう。この時にリスクを評価しながら作ってください。R/3内部のデータであれば統合しており、途中変更等できず、マスタ履歴管理部分は問題ありませんが、アドオン開発した場合のアドオンデータ管理やインターフェースデータ、作業者のマニュアル対応部分は恣意性が入る部分なのでリスクとして認識、運用フローでヘッジする必要があります。
③ 内部統制の文書管理
業務プロセスフロー、設定資料、追加開発の仕様書など作成する必要があります。この中で最も重いのは業務プロセスフローの見直しです。これは1.2に関わる最重要作業です。外部ノウハウを使うとしても自社フローの洗い出しは基本的にはユーザサイドの負担です。またフローを適切に実施するための社内ルールの徹底も必要です。
法律適用は2008年3月開始ですので、対策を早めに行うことをお勧めします。
2006.7.14 沖
株式会社ソフテスは、SAP ERP(R/3)の導入から、バージョンアップ、保守・運用、ベイシス関連サービス、アドオンプログラム開発まで、一貫したSAP関連サービス・ソリューションを提供しています。
- 第31回:「最小不幸社会」
- 第30回:「緑の中のIT会議2010」
- 第29回:「春爛漫、さくら満開」
- 第28回:「煮え切らない2010年」
- 第27回:「新年あけましておめでとうございます。」
- 第26回:「年度末を迎えて・・・」
- 第25回:「為政者への期待」
- 第24回:「久しぶりの上海出張」
- 第23回:「緑の中のIT会議2009 笑顔いっぱいの森のサロン」
- 第22回:「緑の中のIT会議」
- 第21回:「不況対策」
- 第20回:「不況の嵐到来。まずは、体力作り!」
- 第19回:「新年のご挨拶」
- 第18回:「チャンスの矢」
- 第17回:「事業競争力」
- 第16回:「地球温暖化」
- 第15回:「蝉時雨」
- 第14回:「若さ!そのⅢ」
- 第13回:「若さ!そのⅡ」
- 第12回:「若さ!」
- 第11回:「はや二月!不景気の足音が不気味です・・・」
- 第10回:「2008年新年のご挨拶」
- 第9回:「アップグレード」
- 第8回:「ホームページ」
- 第7回:“SAP AWARD OF EXCELLENCE 2007”受賞!
- 第6回:新年あけましておめでとうございます。
- 第5回:SOX法対応と業務処理の統制について
- 第4回:セミナー
- 第3回:ERPによるSOX法対策
- 第2回:小型ERP SAP Business One は優れもの
- 第1回 :コラムをよろしく!
