ニューヨーク証券取引所に上場している金融業のニッシンは、米SOX法(企業改革法)対応を進めている最中だ。特に配慮したのは、ビジネス・プロセスをいかに効率よく可視化するか。同社は外部コンサルタントを利用して、現場の負担軽減を図った。
ニッシンが、米SOX法に対応するためのプロジェクトを始めたのは2004年秋。「前例がなかったので何をすればよいか分からなかった。勉強しながら手探りで作業を進めた」と、高瀬尚彦CEO室長は振り返る。06年6月までシステム企画部長だった同氏は、このプロジェクトでシステム関連の責任者を務めていた。
現場の手を煩わさない
SOX法対応の作業で、ニッシンが特に苦労したのはビジネス・プロセスの可視化である。同社の事業は貸金、信用保証、不動産、リースと多岐にわたる。これらすべての事業において、財務報告にかかわるビジネス・プロセスを調べる必要があった。
ビジネス・プロセスの可視化における大方針は、「現場の手を極力煩わさないようにすること」(高瀬氏)。そのために、中央青山監査法人のコンサルタントを活用した。
コンサルタントは05年初頭から監査部門を除く全20部署にヒアリングを開始。「部署ごとの業務」と「複数部署を横断する商品の流れ」の両面から見てビジネス・プロセスを規定していった。
まず、全社の業務を貸金、信用保証、不動産、リースなどに分類。さらに、それぞれの業務を「審査」、「債権管理」などと細かく分解した。
これだけでは部門ごとのビジネス・プロセスしか表せない。そこで、「複数の部門を帳票がどのように流れていくか」という部門横断の視点を加味したうえで、同9月から10月にかけてプロセスを文書化した。この作業を通じて、業務の規定やマニュアル類である「業務記述書」や、業務の流れを表す「業務フロー図」をまとめた。誰がどんな責任権限を持つかも規定した。
| 統制対象と統制のポイント[画像のクリックで拡大表示] |
|
コンサルタントがその結果を現場の担当者に見せて、実態とそぐわない部分がないかを確認してもらう形を採った。これなら現場の担当者が直接文書を書き起こすのに比べ、負担は軽くなる。加えて、外部コンサルタントが入ることで、それぞれの担当者が自分の業務を客観視するよい機会になったという。「SOX法対応では、外部の人に自社のプロセスをいかに分かりやすく説明できるかが重要になる。そのためのよい訓練になった」と高瀬氏は話す。
この作業を通じて文書化したビジネス・プロセスは、細かなものも含めて合計して300近くに上った。
管理ツールで文書の保守を容易に
文書化したプロセスを管理するために、ニッシンはプロティビティ・ジャパンのSOX法対応プロジェクト支援ツール「SarbOx Portal」を利用した。この製品は、文書化作業や、作成した文書の管理を支援するもの。ニッシンは文書化の作業はExcelなどでできると判断し、文書化と並行して文書の保守作業を容易にするツールを比較検討した。その結果、ビジネス・プロセス自身とそのプロセスで起こり得るリスク、その対策(コントロール)をセットにして記述できる点を評価し、SarbOx Portalを選択した。
通常は業務が変更されるたびに、規定した文書を修整しなければならない。業務内容やプロセス、さらにそれらに対するリスクやコントロールをどんな用語でどれだけ詳細に説明するかを決めておかないと、文書の修整に手間がかかってしまう。そこでSarbOx Portalを利用して、この作業の負荷低減を狙った。
SarbOx Portalを導入したことで手間を軽くできた一方、「ツールを使いこなすのにひと苦労した」(高瀬氏)。05年9月時点では製品の日本語化が完全ではなく、マニュアルも使いやすいとは言えなかったという。
委託ベンダーの管理を見直す
こうしたヒアリングや文書化の作業に対して、現場からの反発が予想された。いくら外部の力を借りて現場の負荷低減を図るとはいえ、監査部門を除く全部署の部長や課長、実務担当にまんべんなくヒアリングし、文書のチェックまで依頼するのだから、難色を示す担当者がいても不思議ではない。
高瀬氏はそうした事態を防ぐため、「目的は米国の法律への対応だけではない。問題点を把握し、自分たちの業務の効率を高めるチャンスだ」と事業部門への説明会で主張した。主要なビジネス・プロセスを可視化しておけば、その後は「営業担当者など個人が持つノウハウのうち、よい部分を自社の標準プロセスとして採用する」といったことが可能になる。それを続けていけば、企業全体の効率性を向上できると考えたわけだ。「苦労して作成した成果を使わない手はない」(高瀬氏)。SOX法への対応が一段落した後、業務の効率化を本格的に始める予定だ。
ニッシンはビジネス・プロセスの文書化と並行して、IT全般統制を確立するための作業を進めた。IT全般統制は、情報システムを開発・運用する過程で誤りや不正が起きないように組織体制や業務の手順を整えたり、ITインフラそのものを整備することを指す。その中核となる作業は、委託先ベンダーの管理方法を見直すことだった。
同社はシステムの保守・運用業務をNECにアウトソーシングしている。SOX法に対応するためには、委託先における内部統制の確立も、委託する側が責任を持って進めなければならない。そこで05年10月から、ニッシンからNECへのアプリケーション変更依頼や、NECによる変更履歴をすべて文書化することに決めた。
これまではNECの保守担当者がアプリケーションのバグを発見した場合、ニッシンに報告することなく修正するケースが珍しくなかった。逆にニッシンの利用部門が口頭で変更を依頼することもあった。システムの保守作業はアウトソーシング料金に含まれており、ニッシンもNECも記録を残す必要があるとは考えていなかったからだ。履歴を残すようにすることで、問題が発生した場合の責任の所在を明確にした。
Excelファイルの“手渡し”を禁止
| 図1●ニッシンにおける米SOX法対応の経緯[画像のクリックで拡大表示] |
|
会計や販売などの業務プロセスを対象とするIT業務処理統制への対応は、文書化が終わった05年10月以降に始めた。事業部門のビジネス・プロセスが確定しないと、システムの変更に着手しにくかったからだ。
ニッシンは会計システムとして、エス・エス・ジェイのERPパッケージ(統合業務パッケージ)「SuperStream」を利用している。このため、「単独会計システムに関しては、独自開発のシステムに比べて内部統制を担保しやすいと考えている」(高瀬氏)。
連結会計のほうは見直しが必要だった。Excelファイルを連結対象企業から受け取り、SuperStreamに入力しているため、入力内容を承認する手間がかかっていた。これを軽減するため、07年4月以降に連結会計システムを導入し、Excelファイルの“手渡し”を禁止する計画だ。同社は一連のSOX法対応に約2億円をかける見通しである。
(次回へ)
