 |
(編集部)コンプライアンス対策が「IT抜きでは考えられない」という状況の中、ITやIT部門はその対応で、どんな役割を果たすべきだと考えますか?
シュラーゲンハウフ SOX法は「企業の財務報告に関しての内部統制の確立」が求められるものですが、そこで必要な財務報告のプロセスのほとんどは、通常ITシステムによって構築されていますし、それらの多くは、関連する業務プロセスやシステムとも連携するなど、今やビジネスプロセスのほとんどが、企業の基盤となるITインフラ上で構築、運用されています。
|
|
 |
|
|
ですから、ITをいかに活用するかは、法を遵守する際の大きなカギともなるわけですが、ここで重要なのは、今後は「ITを活用した業務プロセス管理や効率化」のみならず、「ITのプロセスやIT自体の統制のあり方」そのものも、熟慮すべき大きな課題になってくるということですね。
つまりIT管理者は、「業務アプリケーションのベストプラクティスを導入する」というレベルに止まらず、その内容や品質といった「サービスレベル管理Service Level Management」にまで踏み込んで、導入や運用を考えなければならなくなる。そうなると、「業務の必要に応じたITサービスの提供と統制」という2つの責任を果たすことが、これからのIT部門が担うべき大きな役割になってくると思いますし、法遵守に必要な機能が満たされ、それが提供されているかどうかという、「ITサービスに関する説明義務」の責任も、新たに生じるのではないかと考えます。
|
|
|
|
|
|
|
|
(編集部)コンプライアンスにITで取り組む際のポイントは?
シュラーゲンハウフ いくつかポイントがあるのですが、まず、第一に大切なのは「コンプライアンスの全体状況を把握する」ということですね。「リスクが生じやすい領域はどこか」「異常な状況にあるシステムはないか」など、全体の状況を可視化し、洗い出しをかけ、コンプライアンスのニーズを正確に割り出す。それによって、早期段階での迅速な是正・最適化が可能となり、大幅なコスト削減とコンプライアンス遵守を両立させることができるのではないかと思います。
もう一つ別の視点では、「プロセス」と「人」と「技術」という要素が、「三位一体」になるということも大事なポイントだと思います。例えば、ある業務プロセスをIT活用で効率化し、モニタリングを行って統制していく。あるいは、ITサービスのマネージメントがきちんと機能しているかどうかをチェックしていく……そうした点をクリアしながら、3つの要素を明確に連動させていくことが必要だと思います。
さらにもう一つ重要なのは、IT部門とビジネス側・経営側がいかに緊密な関係を築けるか、という点ですね。ビジネス側のプランや目的をしっかりと理解した上で、それに則ったITの機能を提供していく。そのためには、互いに手を携えて緊密なコミュニケーションを行いながら、対策を進めることが不可欠なのです。
|
|
|
|
|
|
|
|
(編集部)具体的にどのようなプロセスで進めたらよいのですか?
シュラーゲンハウフ 私たちは、「スコーピング:scoping」「モニタリング:monitoring」「リスク管理:risk management」という3つのプロセスを実行することが基本になると考えています。
|
|
 |
|
|
まず「スコーピング」では、範囲を特定し、「どの対象範囲にどのくらいの規制力を働かせるか」の定義を行います。「モニタリング」では、スコーピングによって定義された対象範囲の監視を行い、業務に応じて発生する変更管理などの正当性をチェックしていきます。最後の「リスク管理」は、モニタリングによって特定されたリスクを是正し改善するというプロセスで、問題の原因究明を図り、正常なプロセスに戻していくという作業です。この3つの領域にそれぞれ取り組むことで、コンプライアンス対策で必要となる、効率的なITプロセス管理が実現できるのではないかと考えています。
|
|
|
|
|
|
|
|
(編集部)そのプロセスはHPでも実践されているのですか?
シュラーゲンハウフ そうですね。HPの場合、自社内に内部監査のチームを作り、この3つのプロセスに取り組むことで、自社のコンプライアンス対策を、自分たち自身の手で行うことに成功しました。要は「どこが自分達にとって重要な領域か」、「そこに潜むリスクをどう回避すべきか」を洗い出し、問題点を適切に把握することによって、その改善を行う……HPでは多くの経験をベースに、こうした継続的な内部監査の手法を追求・確立してきたのですが、この方法論を多くの企業の方々にもお伝えし、より迅速で賢明なコンプライアンス対策に役立てていただければと思っています。
|
|
|
|
|
|
|
|
(編集部)その方法論を実行するために、今までのツールやシステムなどのIT資産を活かすことはできますか?
シュラーゲンハウフ SOX法対策は、「ゼロから取り組まなければならない」、「新たなシステムやツールを入れなければならない」というものでは決してありません。ITを業務に活用し、ビジネスプロセスを構築している企業であれば、そこに何らかの形で「管理」というものが必ず存在しているはずなので、要は、それを一歩進めて、いかにコンプライアンスに対応したプロセス管理に結びつけるかを現実的に考えればよいのです。
|
|
 |
|
|
結局、一番重要なのは、この「プロセス管理がきちんとできるか否か」なんですね。その状況が、コンプライアンス対応の有効性や効率性に最も大きく影響を与えるのです。ですから、プロセスを管理するプラクティス、例えばITILなどを既に導入し、プロセス管理が有効に機能しているのであれば、コンプライアンスへの対応においても、「70〜80%合格点に達している」という見方をしてもいいのではないでしょうか。もちろん、企業の中には、コンプライアンス対応のために、新たにツールやシステムを導入するケースもあるわけですが、逆に言えば、何か新しいものをバンと入れるだけで、コンプライアンスを遵守できるわけではありませんし、「これだけでコンプライアンスのすべてに対応できる」という「魔法の薬」は存在しないのですから、重要なのは「プロセス管理の見直し」であるということを、しっかりと認識しておくべきだと思います。 ≫ 【Chapter 3】 有効な方法論とその実行のメリットとは? |
|
|
|
|
|
|
印刷用画面へ
