SOX対応 HP社の場合

　こんにちは、丸山満彦です。昨日interop 2006でW17「内部統制と情報セキュリティ 」（モデレータ：岡村弁護士）にスピーカーとして出ていたのですが、佐藤さんのHPでの取り組み事例が大変参考になりましたね・・・

　
　佐藤さんのウェブページに資料を掲載してくれるようですが、当日佐藤さんの話を聞いて参考になったこと・・・

＝＝＝＝＝
１．SOX導入に成功要因
・コンプライアンス意識が高い
・・期待される行動
・・規律ある自由（倫理と妥協なき誠実性）
・・HP Way（倫理観）
・・SBC（行動規範）
・経営視点で取り組む
・・トップダウンで施策したプロセスをボトムアップで検証
・・全体最適で企業存続を保証するIT、組織作り
・ITガンバナンス
・・全体最適化で変化に対応できるインフラ構築

【参考】
・日本HP 基礎となる考え方

２．ビジネスプロセスとコントロールの数
　544ビジネス
　4,754のコントロール
　156ITアプリケーション
　5,300のITコントロール

３．導入2年目のチャレンジ
・プロジェクトから継続したオペレーションへ
・・責任をプロセスオーナーに移行
・対象範囲の限定
・プロセスの標準化
・HPと監査法人で実施する項目の統合
・文書化の品質向上と重要なコントロールに焦点
・コストモデルの簡素化
・SOX法404プロセスの習慣化

４．ITガバナンスの強化（設計指針）
・シンプル化
・・構成要素数の低減
・・カスタマイズの排除
・・変更の自動化
・標準化
・・標準技術・インタフェースの利用
・・共通アーキテクチャーの運用
・・標準プロセスの実装
・モジュール化
・・単一構造の分解
・・再利用可能なコンポーネントの生成
・・論理的アーキテクチャーの実装
・統合化
・・ビジネスとITの連携
・・企業内外のアプリケーションとビジネス・プロセスを結合

（統制レベルを高めることで硬直性を招かないようにする必要がある）
＝＝＝＝＝

参考になりますね。もちろん、会社が置かれている環境が異なるわけですから、HPが成功したからといって、HPのやり方をまねても成功するかどうかはわかりませんが・・・

後、プロジェクト体制・役割なども参考になりました。

面白かった話１：内部統制と情報セキュリティの関係
＝＞内部統制を幕の内弁当とすると、情報セキュリティは白飯。

面白かった話２：ビー球を机の右端から左端に動かす方法
＝＞方法１：ビー球を１個1個つまんで右端から左端に動かす
＝＞方法２：机を傾ける

　この人、ただの食いしん坊ではないらしい・・・