石油・化学大手の英BPは、米SOX法への対応にITガバナンスのフレームワーク(評価基準の体系)「COBIT」を利用している。COBITが掲げる項目を絞り込むと同時に、ERPパッケージで標準化を図ることで、世界100カ国にまたがるSOX法対応の作業を効率化した。
世界100カ国の拠点に10万人以上の社員を抱える世界3大石油会社の一つ、英BP(旧ブリティッシュ・ペトロリアム)。同社は、米SOX法(2002年サーベインズ・オクスリー法)404条に対応するために内部統制の整備を進めている。米ニューヨーク証券取引所に上場する同社は、2006年12月期決算からSOX法の適用対象となる。
BPが全社的にSOX法対応を始めたのは、2003年8月。全社プロジェクト・チームを立ち上げ、その下にIT担当チームと財務担当チームを置いた。IT担当チームは100以上あるアプリケーションを対象に、業務処理統制やIT全般統制を整備。専任者はわずか5人だったので、人手が足りない場合はコンサルティング会社に依頼した。
内部統制の整備は、約18カ月を費やし2005年にひとまず完了。その後、さらなる改善に取り組んでいる。ITガバナンスのフレームワーク「COBIT」の中で、必要な部分を抜粋して利用。加えて、ERPパッケージ(統合業務パッケージ)で標準化を図る、現場の担当者への研修体制を整えるといった方策を採ることで、少人数による作業を円滑に進めた。
複数のフレームワークを検討
IT統制を進める上でカギとなったのは、SOX法対応の際に「どのフレームワークを参考にするか」を決めることだった。「内部統制の有効性を判断する基準として、広く普及しているフレームワークの利用は欠かせなかった」と、BPでIT関連のSOX法対応を主導するDCT SOXインテグレーション・マネジャのゲイリー・バニスター氏は話す。
IT関連のフレームワークには、米ISACA(情報システムコントロール協会)と米ITGI(ITガバナンス協会)が策定したCOBITのほかに、運用のベスト・プラクティス集である「ITIL(ITインフラストラクチャ・ライブラリ)」や、情報セキュリティの国際規格「ISO17799(現ISO27001)」がある。
BPはこれらを比較検討した結果、COBITを選んだ。バニスター氏はその理由を、「PCAOB第2号(米SOX法の監査基準)などと照らし合わせたところ、SOX法の求めている内容に最も合致していたからだ」と説明する。COBITはITガバナンスの領域全般をカバーするのに対し、ITILやISO17799は「目的が異なる、網羅性が低いなどの理由で、SOX法対応の要件に必ずしも合致していなかった」(同)。同社は当時の最新版である「COBIT version3(v3)」を利用して、SOX法対応を進めることに決めた。
統制の対象と統制のポイント |
34のプロセスから12種類を選択
ここで問題になったのは、「COBITのカバー領域が広く、すべてを実現しようとすると対策が過剰になってしまう」(バニスター氏)ことだった。COBIT v3は、ITガバナンスの対象領域を(1)計画と組織、(2)調達と導入、(3)サービス提供とサポート、(4)モニタリング、の四つに分け、その中で実行することが望ましい34の業務プロセスと、318のIT統制の項目を定めている。これらすべてに対応すると、手間があまりにかかってしまう。
そこでBPは、COBITの業務プロセスの中で、今回主に対応すべきものとして12プロセスを選んだ(図1)。それらは(2)と(3)に属するものだ。
図1●BPが米SOX法対応の際に選んだ「COBIT version3」のプロセス 全34プロセスのうち12プロセスを選んだ(赤字部分) [画像のクリックで拡大表示] |
ただし、100カ国以上にわたる事業拠点すべてに同じ対策を実施するのは効率が悪い。そこで売上高を基準に、「どの事業拠点が、どの程度までIT統制を整備すべきか」という目安を決めた。例えば、「売上高100万ドル以上の事業拠点は、COBITの12プロセスに従う。特に、『変更管理』と『システム・セキュリティの保証』の2プロセスを、重点的にチェックする」といった具合だ。このように拠点に応じてメリハリを付けつつ、IT統制の整備を進めた。
ERPで業務プロセスを標準化
SOX法に対応するに当たり、「ERPパッケージを利用したことも、負荷軽減につながった」(バニスター氏)。BPは会計関連のシステムに、主に独SAPのERPパッケージを利用している。基本的にシンガポールのデータセンターで集中管理しており、それを世界各国の拠点から利用する仕組みだ。
ERPパッケージでシステムを共通化・標準化したことが、SOX法対応に生きた。例えば、業務処理統制を整備する際には、ある1拠点でパイロット・プロジェクトを実施。そこで確立した対策や、作成した監査用文書を各国に展開するだけで、大半の作業をカバーできた。ERPパッケージを利用していない拠点は「例外」として、自らの責任で対策を立案したり、監査用文書の作成を進めた。
ただし、「単にERPパッケージを導入してもメリットは得られない」とバニスター氏は強調する。BPはSOX法対応の一環として、企業買収などを重ねたことで社内に26種類も存在していたERPパッケージのバージョンを、4種類に集約させた。「SOX法対応では、シンプルな仕組みを作ることが大切。異なるバージョンのソフトが併存するのは、効率化の妨げになる」(同)との考えからだ。
現場担当者の研修に注力
バニスター氏がSOX法対応プロジェクトで特に苦労したのは、「現場のIT担当者を、いかに教育するか」だった。内部統制を整備する上で重要な役割を担うのは、現場の担当者だ。「担当者の意識を高めることが、内部統制の整備をうまく進めるために不可欠」(同)。
そこでバニスター氏をはじめとするSOX法対応プロジェクト・メンバーは、現場の担当者に対して、「なぜ、これまでのやり方を変える必要があるか」だけでなく、「担当者の日々の作業が、内部統制の整備にどう影響するか」を徹底的に教えるよう心掛けた。
BPはSOX法対応の際に、管理者向け研修を集合教育で3時間実施。一方、現場の担当者向けには丸1日をかけてワークショップを開催した。ここでは集合研修に加えて、内部統制の運用状況の評価方法まで指導した。
研修と並行して、IT部門にとって重要な統制を記述したA5判のカードを担当者に配布し、携帯できるようにした。カードには、アプリケーションとそれに対する統制を記述。担当者が判断に迷った場合に、統制の内容や、なぜその統制を実施するのかをすぐ確認できるようにした。バニスター氏は、「内部統制の整備で最も難しいのは、人のコントロール。SOX法対応を通じて社員の考え方が変わり、ほかの法規制にも対応できる土台ができた」と話す。
(次回へ)