外資系製薬メーカーのIT統制支援

クライアント社は、グローバルワイドに事業を展開している外資系製薬企業であり、IT統制に力を入れています。
製薬業界独自の法令の遵守や治験データ等の機密情報の保護の観点からIT統制に対する意識が非常に高かったです。
グローバルワイドに展開する方針と整合の取れた日本法人としてのIT統制の構築・運用を支援しました。

IT統制以外の内部統制の構築と同様なアプローチにより、IT統制の仕組みの構築を行いました。

• IT統制の仕組み（ルールやプロセス等）を整備する
• 導入にあたり教育や啓蒙活動を実施する
• 運用状況を定期的に評価して改善を図る

　
その中で重要なことは、整備段階で目指すべき統制レベルを見極めることです。
統制レベルからIT統制要件へブレイクダウンし、その要件にひも付くシステム・情報・プロセスの棚卸しを行いました。
目指すべき統制レベルに合わせてメリハリをつけてIT統制を構築することにより、適切なIT統制を過剰投資を抑えることで実現することができました。
　
また、IT統制の構築にあたり苦労するのが運用の徹底です。
運用の徹底に有効な施策としては、対象者への定期的な啓蒙活動と運用状況を評価し、担当者へフィードバックしていくことです。
そのため、運用評価に対しては、不備を見つけて改善する仕組みを整備しました。
評価者によって結果に齟齬が発生しないように評価手順は特に具体的に定義することが重要です。
結果として、運用担当者も自身の業務がどのように評価されるのか把握でき、IT統制の運用徹底に貢献することができました。

主な成果としては、以下3点をクライアント社から評価いただき、IT統制の継続的な強化を目指し、約10年続く案件となりました。
　

1.  IT統制を整備するにあたり、ルールやプロセスを定義するため、結果としてIT業務の標準化を図ることができた。
2.  定期的に運用状況をモニタリングすることにより、担当者のIT統制に対する意識の向上を図ることができた。
3.  上記の積み重ねにより、クライアントのグローバルのグループ企業において、初めてSOXにおける監査人指摘事項がゼロの拠点となった。
   （SOX要件を含めてIT統制を構築したため、SOX監査にも有効であった）