SOX法への対応を進めた結果、統制(コントロール)が過剰になり、運用コストがかさんでしまう―米国のSOX法対象企業の多くが、こうした問題に直面している。その1社であるサン・マイクロシステムズは、ITガバナンスのフレームワークであるCOBITを利用して統制の状況を全面的に見直し、統制数を半減させた。

 IT全般統制を整備した経験を多く持つメンバー、IT業務処理統制の経験を持つメンバー、社内全体のIDやアクセス管理を担当する専任者、関係部門との連携を図るプログラム・コーディネータ、そして米連邦政府などとの対応にたけ、ITと財務の知識を併せ持つ“スペシャル・プレイヤ”―。

 米サン・マイクロシステムズはいま、この5人から成るPMO(プロジェクト・マネジメント・オフィス)が支援する形で、「SOX法(2002年サーベインズ・オクスリー法)対応後に生じる運用コストをいかに減らすか」に取り組んでいる最中だ。

ITガバナンスの強化で統制を削減

 サンは世界170カ国に拠点を持ち、従業員数は約3万8000人。六つのデータセンターで計1700台のサーバーが稼働し、利用しているアプリケーションは約600に及ぶ(図1)。同社は、すでに2005年会計年度(05年6月期)からSOX法に対応している。

図1●米サン・マイクロシステムズが全世界で利用する情報システムの現状
図1●米サン・マイクロシステムズが全世界で利用する情報システムの現状

 サンがいま問題視しているのは、「SOX法への対応時だけでなく、その仕組みの維持にも多大なコストを要していることだ」と、IT政策管理責任者を務める、ボブ・フレリンガー ITプロセス・コンプライアンス・アーキテクトは話す。同社に限らずSOX法対象企業は、短期間でしかもノウハウもないなかで同法に対応しなければならず、必要以上に統制(コントロール)を設定したケースが少なくない。これが運用コスト増につながっていた。

 そこでサンは、ITガバナンスのフレームワーク(評価基準の体系)である「COBIT」を利用して、SOX法対応の統制数を削減することに決めた。過剰と見なせる統制の多くは、ITに関連していた。このため、全社最適の視点でITの利用・運用状況を把握して見直す、ITガバナンスの強化が統制の削減につながると、同社は判断した。

 同社はSOX法の適用が始まった05年度以降、冒頭のPMOが支援する形で、SOX法対応時に整備したIT統制が適切かどうかを検証し、不必要な統制を減らす作業を続けている。並行して、サーバーを集約したり、会計に関連した業務プロセスを標準化する作業も進行中だ。

 同社にとってSOX法適用2年目に当たる06年度には、IT業務処理統制に関する統制数を前年度の125から67に、IT全般統制についての統制数を194から105に削減できた。「会計アプリケーションをERPパッケージ(統合業務パッケージ)で統一することで、統制数をさらに減らしていく」と、フレリンガー氏は意欲を見せる(図2)。

図2●サンは、SOX法対応により継続的に発生するコストを削減するため、ITガバナンスの強化を進めている
図2●サンは、SOX法対応により継続的に発生するコストを削減するため、ITガバナンスの強化を進めている

財務部門主導でSOX対応を開始

 サンがSOX法への対応時に統制の過剰を招いた最大の要因は、IT統制の整備を進める際にIT部門がほとんどかかわらなかったためだ。

 同社がSOX法対応に着手したのは、03年半ばである。この時点で、同法の適用は04年度(04年6月期)に始まる予定だった。準備期間がほとんどなく、SOX法の目的が財務報告の適正性の確保にある点を加味して、同法への対応は財務部門が中心になり進めることになった。

 実は同時期の03年半ばに、サンのIT部門はCOBITの採用を決めていた。02年半ばから手掛けていたITガバナンスの取り組みを、より強化するのが狙いだ。本来なら、その成果を基にIT関連のリスクを洗い出し、そこからSOX法の対象とすべきリスクを選んで統制を整備するのが自然だろう。

 ところがサンはSOX法対応プロジェクトを、こうしたITガバナンスへの取り組みとは独立した形で進めざるを得なかった。SOX法の適用時期は、途中で1年延期されたものの、準備期間が短いことに変わりはない。「対応に向けた作業を始めて2~3カ月たった頃に、やはりIT部門の協力が必要だと気付いた」(フレリンガー氏)が、これまでのITガバナンスの取り組みと統一させる余裕はなかったという。

 そこで同社は、SOX法対応で必要になる統制を、“あり物”を流用して整備した。コンサルティングに関してサンに協力していた米KPMGが持つ「統制ライブラリ」から、自社に合う統制を選択したのである。

 ここにはIT統制も含まれていたが、「財務部門は、ITに関する知識をそれほど持っていたわけではない。このため、統制を絞り込まずに“スモール・リスク”まで対象としてしまい、統制の過剰を招いた」とフレリンガー氏は話す。

 ちなみにSOX対応を効率化するために、自社製および他社製のツールを使えるかどうかも検討したが、「価格が高すぎる、製品の完成度が不十分、SOX法以外の法令に対応していない、などの理由で、当社のニーズに合う製品はほとんどなかった」(フレリンガー氏)。使ったのは、サン自身が開発したアクセス管理ソフトの「Sun Java System Identity Auditor」程度だったという。

05年度を下準備に充てる

 SOX法対応の結果、生じた統制の過剰さを解消していくには、どうすればよいのか。サンが採るべき手段は明らかだった。

 まず、COBITを軸とするITガバナンスの取り組みとSOX法への取り組みとを関連付ける。その上で、ITガバナンスの観点とSOX法対応の観点からリスクを洗い出し、どの統制が本当に必要なのかを見極めてから、必要最低限の統制を整備するというのが基本方針だ。

 同社はSOX法対応初年度である05年度を、そのための下準備の期間に充てた(図3)。この段階では、推進組織を整備するとともに、SOX対応をにらんでITガバナンスを進めるための標準プロセスを作成した。

図3●サンは当初、SOX法対応をITガバナンスの取り組みとは別に進めていた
図3●サンは当初、SOX法対応をITガバナンスの取り組みとは別に進めていた
[画像のクリックで拡大表示]

 そのために作った組織が、冒頭で紹介したPMOである。メンバーの5人の中には、他社から引き抜いた監査の経験者もいる。PMOの狙いは、SOX法対応に限らずコンプライアンス(法令順守)に絡んだプロジェクトを支援すること。COBITによるITガバナンスの強化を進めている、同社のIT部門を支える役割を果たす。

 もう一つの標準プロセスは、これまでIT部門が中心になり進めてきたCOBITに関する取り組みを基に策定したものだ。同社はすでに、全社におけるIT関連のプロセスを可視化し、それをCOBITに対応付けることで、サンのIT部門が実行すべき業務プロセスを定めていた。COBITは4領域について、ITガバナンスを実現すべき34の業務プロセスを定義しており、これと対比させることで、自社プロセスの不足している部分や冗長な部分を検証した。

 今回は、そのプロセスをSOX法対応の観点で追加・修整し、統制を見直す際の標準プロセスとした。