写真1●カナダのグレート・ウエスト生命保険のロナルド・ソウル氏
写真1●カナダのグレート・ウエスト生命保険のロナルド・ソウル氏
[画像のクリックで拡大表示]
写真2●英BPのゲリー・バニスター氏
写真2●英BPのゲリー・バニスター氏
[画像のクリックで拡大表示]
写真3●米サン・マイクロシステムズのボブ・フレリンガー氏
写真3●米サン・マイクロシステムズのボブ・フレリンガー氏
[画像のクリックで拡大表示]

 「法律を守るためだけに対策をするのは、誰でも気が進まないものだ。ただし、SOX法への対応は、CIOの私にとって“ひどい”経験ではなかった」。こう語るのは、カナダのグレート・ウエスト生命保険・ロンドンライフ、カナダライフおよび投資家グループでCIO(最高情報責任者)を務める、ロナルド・ソウル氏(写真1)。「SOX法への対応は、IT部門のマネジメントをより良くするチャンス。IT部門のあるべき姿が明確になり、IT部門の改革を経営陣が後押ししてくれるからだ」と、同氏は話す。

 ソウル氏のいうSOX法は、厳密には「米SOX法(2002年サーベインズ・オクスリー法)」ではない。カナダでも米SOX法と同様に財務報告の適正性確保のために、内部統制の整備を求める法律(通称C-SOX)が2005年から適用されている。「監査法人による外部監査がないことを除けば、米SOX法とほぼ同様の法律」(ソウル氏)である。

 ソウル氏の発言は、日本ITガバナンス協会(ITGI Japan)が11月18日に開催した設立記念カンファレンスで出たもの。ITGI Japanは米ITGIを母体に、ITガバナンスの定着・普及を目指して設立された団体である(関連記事)。ITGIはITガバナンスのフレームワーク(枠組み)「COBIT」を作成している米ISACA(情報システムコントロール協会)から独立する形で設立。ITガバナンスの普及に賛同する企業などから資金を募り、ISACAの活動を支援している。

 このカンファレンスでは、米SOX法やC-SOXに対応した企業のCIOやSOX法対応の担当者が登壇。ITガバナンスのフレームワーク「COBIT」に関する考えや、自らのSOX法対応の経験を語った。

 2人目に話した、石油・化学大手の英BPで米SOX法への対応を担当したDCT SOXインテグレーション・マネジャのゲリー・バニスター氏(写真2)は、「IT部門にガバナンスを導入できたことが、米SOX法対応の成果」と振り返る。「将来、企業に対して米SOX法よりも厳しい規律を課す法律が登場する可能性がある。米SOX法対応でITガバナンスを確立したことで、今後の法令順守の土台ができた」(同)。

 米SOX法対応で最も大切なのは、「IT部門の担当者に、『これまでの仕事のやり方が内部統制上、なぜダメなのか』を理解してもらうこと」とバニスター氏は説明する。英BPはIT部門の管理者向けと、現場の担当者向けにワークショップを開催し、内部統制の重要性を解説して乗り切った。

 3人目の米サン・マイクロシステムズのボブ・フレリンガー氏(写真3)は、「初年度にSOX法対応を終えてからのプロセスが大切」と強調した。同氏はサンのIT政策管理責任者を務める。初年度にSOX法対応を終えたサンのIT部門は、2年目以降にリスクに対する予防・低減策である統制(コントロール)の数を減らすことを目指している。統制が多いと、内部統制の整備に必要な手間や、内部統制の整備状況を示す証拠の数が増えてしまい、工数が膨らんで対応費用も高くなるからだ。

 サンは、主に二つの方法でIT関連の統制数を減らしているという。一つはシステムの統合。システムが一つになれば、IT全般統制を整備する対象も一つになる。もしシステムが数百ある場合は、数百通りのIT全般統制を整備しなければならない。フレリンガー氏は、「社内のシステムすべてを1システムに統合するのが理想」と話す。

 二つ目は、「IT部門の統制、経理部門の統制といった部門レベルの統制ではなく、会社全体で取り組む統制を増やすこと」(フレリンガー氏)である。部門が個別に対応するのではなく、社内全体で取り組むことで業務が標準化され、内部統制の整備効率が上がるわけだ。

 SOX法対応のアプローチは3社でそれぞれ異なるが、内部統制を整備する際にIT部門が「COBIT」を参考としている点は共通している。ただし各社とも、COBITに書かれていることを“うのみ”にしているわけではない。

 ITGI国際理事会の理事も務めるグレート・ウエスト生命保険のソウル氏は、「COBITに記述されている項目をすべて自社で実現するのは不可能。COBITを利用する際には、何が自社にとって必要なのかを見極める判断力が欠かせない」とする。サンのフレリンガー氏も、「SOX法対応を始めた当時は、政府からのガイドラインもなかったためCOBITだけを参考にした。その結果、IT統制の数が増えすぎてしまった」経験を持つという。

 「日本版SOX法に対応する企業にとって、COBITは参考になる。ただし、IT部門の担当者が内部統制を深く理解していることが条件」とソウル氏は強調する。「IT部門には内部統制について詳しい人がいないことが少なくない。『COBITに書かれているが、この対策は自社に必要ない』と強い意志で判断できる人材がいれば、COBITを有効活用できる」(ソウル氏)。

 COBITの最新版「COBIT version4」の日本語版は、年末にも公開される予定だ。同時に、「IT Control Objectives for Sarbanes-Oxley(COBIT for SOX )2nd Edition」の日本語版も登場する見込み。COBIT for SOXは、COBITの内容を「財務報告にかかる内部統制」の視点で抽出・整理し、米SOX法対応で必要とされるIT統制の目標を明らかにした文書である。


※IT統制にかかわるニュースや解説などをまとめた特集を,内部統制の専門サイト「内部統制.jp」で掲載しています。