ゲストスピーカーの講演の後、9つのセッションが3会場で行われ、A会場の第1セッションでは、シトリックス・システムズ・ジャパン第一営業本部ITコーディネーターの前田理恵氏が「統制環境を確保しながら企業が成長し続ける秘訣」と題して、同社のSOX法対応事例について話した。

前田理恵氏は「法対応と企業成長の両立が必要」と強調

前田氏によると、同社はSOX法への対応に際し、「法の要請と企業成長を両立させるシステムづくり」をテーマとしてきた。内部統制には、大きく分けて「IT業務処理統制」と「IT全般統制」がある。日本版SOX法の「実施基準(草案)3.財務報告に係る内部統制の監査」によると、IT全般統制の評価項目として、以下の項目が列記されている。

  1. システムの開発、変更、保守
  2. システムの運用・管理
  3. システムの安全性確保
  4. 外部委託に関する契約の管理

同社では、こうした評価項目に準じて行うIT全般統制の評価に関して、米国のISACA(情報システムコントロール協会)が定めている「Cobit for SOX」を利用した成熟度評価を採用している。Cobitは、ITガバナンスの成熟度を測るフレームワークで、現在では日本語版もISACAのホームページで見ることができる。同社ではCobitの34プロセスのうち、12プロセスをマッピングして使用しており、前田氏は「ぜひ一度目を通すべき」と述べた。

同氏はまた、同社のIT全般統制の具体的な運用事例として、「システムの開発、変更、保守」に関するシステムを紹介。同社では、ITシステムのあらゆる申請と変更(新規導入、機能拡張、変更、障害)の履歴を自社開発ツールで管理しており、

  1. 「Change Notice」を作成
  2. 作業項目を担当者が記入
  3. 事前に実施したテストの詳細を入力
  4. 作業スケジュールを登録
  5. 変更の要求者と作業実施者、変更箇所のカテゴリを登録
  6. 作業内容をメールで関係者に通知

という仕組みになっているという。

一方、前田氏は、SOX法への対応と並行して、「企業の成長を阻害しないようにITの生産性・利便性向上も図っていかなければならない」と強調。同社では、「アプリケーション一元管理によるメンテナンスの完全性」を「社員のPC管理負担軽減」に、「アプリケーションの許可ユーザーの配信」を「ユーザーに起因するミスの軽減」に、「リモート環境におけるセキュリティ確保」を「テレワークの実現」につなげるなど、SOX法対応をそのまま生産性・利便性の向上に結びつけており、同氏は「こうした試みにより、内部統制と企業成長を両立させることができる」と述べた。