PR

米SOX法や日本版SOX法と同様に、カナダにも上場企業に内部統制の整備を求める法律(通称C/SOX)がある。グレート-ウエスト生命保険は、IT統制の整備を4階層に分けた上で、ITガバナンスのフレームワーク「COBIT」を利用し、C/SOXへの対応を効率化した。

 「内部統制を整備する際に、やり過ぎは禁物なのは、米国の例を見ても明らかだ。そこでIT統制を進める際に、全体を大きく4層に分けた上で、広く普及しているフレームワーク(評価基準の体系)を適用することで、対策が過剰にならないよう配慮した」―。

 カナダのグレート-ウエスト生命保険(正式には、グレート-ウエスト生命保険・ロンドンライフ、カナダライフ、および投資家グループ)でCIO(最高情報責任者)を務めるロナルド・ソウル氏は、カナダ版SOX法であるC/SOXに対応した経験を、こう振り返る。

外部監査が不要な点が異なる

 C/SOXは日本ではほとんど知られていないが、カナダの上場企業を対象に、財務報告の適正性確保のために内部統制の整備を課す法律である。オンタリオ州政府が策定した「Bill 198」や、カナダ証券委員会(CSA)の規定などの総称で、2006年6月30日以降に終了する決算期から適用されている。

 その内容は、「米SOX法(2002年サーベインズ・オクスリー法)の302条や404条とほぼ同じ」(ソウル氏)。米SOX法302条は、財務報告が適正であることを保証する宣誓書の提出を、CEO(最高経営責任者)やCFO(最高財務責任者)に義務付けるもの。404条は、財務報告の適正性を確保するために、内部統制の整備を企業に求める条文である。

 C/SOXが米SOX法などと大きく異なるのは、「公認会計士による外部監査が不要」(ソウル氏)なことだ。企業が内部統制の整備状況の報告書を作成し、それに対してCEOやCFOがサインをして適正性を保証するのは、米国や日本と同じ。その後に外部監査が入らない点が異なる。「米国では外部監査を必要とすることで手続きが複雑化し、コスト増や監査人不足などの混乱を招いた。『企業の競争力を奪いかねない』と危機感を抱いたカナダ政府は、内部監査だけでよいと決めた」(同)。

 とはいえ、C/SOXへの対応も「文書化に大きな手間を要した。IT部門の担当者の意識改革も必要だった」とソウル氏は振り返る。外部監査が不要なぶん、「社員間の信頼関係を強固にする必要もあった」(ソウル氏)。

 同社は昨年末までに、財務報告に影響を与えるリスクに対するコントロール(統制)の定義・評価・改善を実施。今年中に同じ作業を再度行う計画だ。「米国では、SOX法対応の作業は努力の割にあまり評価されなかった。作業を急ぎ、主にコンプライアンス(法令順守)に焦点を当てていたからだ。我々は当社にとっての“価値”を重視している。作業計画に価値が見いだせない場合は、担当者に見直しを要求した」とソウル氏は話す。

統制の対象と統制のポイント
統制の対象と統制のポイント

34プロセスのうち24を採用

 グレート-ウエスト生命はC/SOXへの対応にあたり、ITガバナンスのフレームワーク「COBIT」を活用した。同社は、1998年から2006年にかけて5社を買収。システムや、開発、運用・保守の方法が異なる複数の企業を対象に内部統制を整備するには、「広く普及しているフレームワークを利用するのが有効だった」(ソウル氏)。COBITを選んだのは、IT統制全体をカバーしているのに加えて、「現場が反対しても、『これがベストプラクティスだ』と説得できるからだ」(同)。

 ただし、「フレームワークをこの場合にこう使えばよいという『料理本』は存在しない。自社の事情に合わせた使い方を考える必要がある。そうしないと、対策が過剰になってしまう」(ソウル氏)。そこで同社は、まず整備すべきIT統制をいくつかの層に分けた。(1)全社レベルのIT統制である「レベル0」、(2)IT業務処理統制の「レベル1」、(3)データ管理やセキュリティなど、アプリケーションに対するIT全般統制である「レベル2」、(4)OSやネットワークなど、システムのインフラに対するIT全般統制である「レベル3」、の四つがそれだ()。

図●グレート-ウエスト生命はIT統制の整備を4階層に分け、COBITを適用した
図●グレート-ウエスト生命はIT統制の整備を4階層に分け、COBITを適用した
[画像のクリックで拡大表示]

 COBITでは、「計画と組織(PO)」「調達と導入(AI)」、「サービス提供とサポート(DS)」、「モニタリング(M)」の4領域について、ITガバナンスを実現すべき34の業務プロセスを定義している。同社は各レベルごとに、どのプロセスを適用するかを決めていった。同社がC/SOXに対応する際に選んだのは、24プロセスである。

全社統制とIT全般統制にCOBITを適用

 IT部門と全社的な内部統制の推進組織が実施するレベル0では、COBITの11プロセスを使う。内訳は、POが6(「IT戦略計画の明確化」、「ITリスクの評価」など)、DSが1(「ユーザーの教育とトレーニング」)、Mが4(「内部統制の妥当性の評価」など)だ。

 IT部門が中心となるレベル2と3は、同じ13のプロセスを利用する。AIが5(「アプリケーションの調達・保守」、「インフラの調達・保守」など)、DSが8(「サービス・レベルの定義と管理」、「外部委託先の管理」など)である。

 IT業務処理統制に関するレベル1では、COBITを適用しなかった。どちらかというと、IT全般統制にかかわるプロセスが多いからだ。ここでは、データの入出力の正確性、エンドユーザーのセキュリティなどを重視して、「統制の自動化に力を入れた」と、ソウル氏はいう。

ITガバナンスへの取り組みが土台に

 COBITの利用でC/SOXへの対策を効率よく進められたのは、「以前からITガバナンスの強化を手掛けており、必要な土台ができていたからだ」と、ソウル氏は説明する。

 グレート-ウエスト生命は、90年代後半から買収企業のIT部門を一元化し、シェアド・サービス形式でITサービスの提供を始めていた。その際に、運用のベストプラクティス集である「ITIL(ITインフラストラクチャ・ライブラリ)」や、情報セキュリティの国際規格「ISO17799」などを利用して、情報システムの標準化を進めた。並行して、経営陣が参加してIT戦略についての意思決定を行うコミッティを設立するなど、組織体制も整備していた。

 ソウル氏は、「こうした蓄積なしにいきなりCOBITを使おうとしても、何を判断基準とすればよいかが分からず、自社に適正な対策を選ぶことはできなかったのではないか」と話す。

次回へ