外資系製薬メーカーのIT統制支援

課題

クライアントはグローバルワイドに事業を展開している外資系製薬企業であり、IT統制に力を入れている。
製薬業界独自の法令の遵守や治験データ等の機密情報の保護の観点からIT統制に対する意識が非常に高かった。
グローバルワイドに展開する方針と整合の取れた日本法人としてのIT統制の構築・運用を支援した。

アプローチ

IT統制以外の内部統制の構築と同様なアプローチにより、IT統制の仕組みの構築を行った。

  • IT統制の仕組み(ルールやプロセス等)を整備する
  • 導入にあたり教育や啓蒙活動を実施する
  • 運用状況を定期的に評価して改善を図る

 

その中で重要なことは、整備段階で目指すべき統制レベルを見極めることである。
統制レベルからIT統制要件へブレークダウンし、その要件に紐付くシステム・情報・プロセスの棚卸しを行った。
目指すべき統制レベルに合わせてメリハリをつけてIT統制を構築することにより、適切なIT統制を過剰投資を抑えることで実現することができた。。

また、IT統制の構築にあたり苦労するのが運用の徹底である。
運用の徹底に有効な施策としては、対象者への定期的な啓蒙活動と運用状況を評価し、担当者へフィードバックしていくことである。
そのため、運用評価に対しては、不備を見つけて改善する仕組みを整備した。
評価者によって結果に齟齬が発生しないように評価手順は特に具体的に定義することが重要である。
結果として、運用担当者も自身の業務がどのように評価されるのか把握でき、IT統制の運用徹底に貢献することができた。

IT統制の構築アプローチ

統制対象の分類に応じてメリハリを付けてIT統制を構築することにより、企業は過剰なコストをかけず適正レベルの統制が実現可能。

成果と顧客満足

主な成果としては以下3点をクライアントから評価頂き、IT統制の継続的な強化を目指し約10年続く案件となった。

  1.  IT統制を整備するに当たり、ルールやプロセスを定義するため、結果としてIT業務の標準化が図ることができた。
  2.  定期的に運用状況をモニタリングすることにより担当者のIT統制に対する意識の向上が図ることができた。
  3.  上記の積み重ねにより、クライアントのグローバルのグループ企業においてでSOXにおける監査人指摘事項が初めてゼロの拠点となった。
    (SOX要件を含めてIT統制を構築したため、SOX監査にも有効であった)