米国で株式上場している国内大手メーカーのECサイトでは、米SOX法(2002年サーベンス・オクスリー法)に、短期間かつ低コストで対応する必要に迫られていました。そこでクエストの提案を採用。高価な専用システムを導入することなく、既存のツール類を中心にIT統制の仕組みを構築することで、コストを大幅に抑えつつ、約1カ月という短期間で、内部監査に準拠しSOX法への対応を実現しました。

課題と経緯

監査のため、短期間でECサイトのIT統制を実施

一般的に、米国にて株式を上場しているグローバル企業では、米国のSOX法に対応するため、内部統制を行う必要があります。IT部門ではIT統制として、業務処理統制とIT全般統制の両面で取り組まなければなりません。

2012年9月、国内大手メーカーは米国で株式上場している関係で、SOX法に対応するために、ECサイトでIT統制を実施し、内部監査に準拠することになりました。その際、短い期間での対応完了が必須であることとともに、イニシャルとランニングのコスト最小化も求められました。

導入

既存ツール類を軸に運用負荷を抑えたしくみ

同社はIT統制を行うにあたり、クエストの提案を採用しました。同社が評価したのは合理的な手法です。通常はSOX法対応のシステムを新たに導入すると、そのシステム用に構築・運用が発生するため、導入に少なくない時間を要し、コストや運用負荷が膨れあがってしまいます。

そこでクエストは、ExcelやAccessなど既存のツール類を軸に、手動による運用管理も一部組み合わせることで、コストやシステム運用負荷増加を大幅に抑えられるIT統制の仕組みを提案しました。また、同社にはもともとクエストが常駐しており、既存メンバーの新たなサービスとして提供される点も採用の一因となりました。

効果と展望

約1カ月で内部監査への準拠を実現

2012年10月から着手し、監査法人と連携しつつ、アクセス権管理やインシデント管理、各種証跡管理をはじめとするIT統制の仕組みを既存ツール類で構築し、DCベンダーへのSOX法対応内部統制の概念導入からの実施調整を行い、翌11月には稼働開始しました。

同社はその結果、新たな製品を導入することなく、必要最小限の投資および約1カ月という短期間で、目標とする内部監査への準拠を実現し、SOX法に対応する内部統制を導入できたのです。今後はさらなる効率化を図るとともに、ECサイト以外にも横展開していく予定です。

ECサイト会社へSOX法対応支援の概要図