SOX法対応とBPMの関係とは?:一問一答式:BPM実践テクニック(7)(1/2 ページ)
「日本版SOX法」への注目が急速に高まっているが、内部統制システムを構築するうえでもBPMの考え方とツールが役立つ。日本版SOX法とBPMの関係を見ていこう。
日本版SOX法がやって来る
前回は、BPM(ビジネスプロセス・マネジメント)の導入おけるコンプライアンス対応への考慮事項について概観しました。今回は最近、コンプライアンス関連でも特にホットな話題である企業改革法(SOX法)と、BPMの関連について考察します。今後、日本にも押し寄せてくる(実際には、すでに押し寄せているのですが……)、SOX法に対応するうえでのBPMの生かし方について検討してみましょう。
SOX法は日本でも大々的に報道された2001年のエンロン事件を背景に、株主・投資家保護を目的に、企業の内部統制を確固たるものとすべく制定された米国の連邦法です。違反したCEO・CFOには、実刑を含む重い刑罰が科せられるという特徴があります。日本企業でも、米国の証券市場に上場している企業は対応を迫られていましたが、日本国内でも金融庁が同様の制度(俗に日本版SOX法と呼ばれています)の導入を発表したことから、現在企業における極めて重要課題として取り上げられています。
BPMから離れたところにも話が及びますが、BPMに取り組むうえで重要な点があるため、多少の紙幅を取ります。
COSOフレームワーク
SOX法制度は、企業における経営の健全性を明確化することを目的として、COSOフレームワークに立脚しています。
COSOとはトレッドウェイ委員会組織委員会(Committee of Sponsoring Organizations of the Treadway Commission)の略称で、1992年にCOSOキューブとも呼ばれる内部統制のフレームワーク──COSOフレームワークを発表しました。
COSOキューブ。5つの構成要素と活動単位、組織単位の関係を示すこれは以下の5つの構成要素からなり、それぞれについて活動単位(業務活動・財務報告・コンプライアンス)と組織単位の側面から、具体的に日常のプロセスを明確に運営することを義務付けています。
| 構成要素 | 内容 |
|---|---|
| 活動監視 | モニタリングを行い、内部統制が有効に運営されているかを継続的に監視し、評価する |
| 情報とコミュニケーション | 適切な情報が正しく組織の中を伝達され、必要関係者に対してそれが適切に伝えられる運用を確保する |
| 統制活動 | 企業内における指示系統が適切に、連絡・実施されるための仕組みや手続きの確保 |
| リスク評価 | 企業におけるリスクの分析・評価を行う手続きや評価基準 |
| 統制環境 | 企業活動における統制活動に影響を及ぼす企業の風土などを含む企業環境 |
COSOフレームワークのキーワードを見ると会計的な内部統制だけではなく、業務の効率化や改善活動を行っていくためのビジネスプロセス・コントロールに関連する要素が少なくないことが分かるでしょう。
モニタリング
広義には監査などの監視活動も含まれるが、より具体的・日常的な活動としては「誰が」「いつ」「どの資料・情報にアクセスし」「評価・承認(否認)を行ったか」というような履歴やログを残しておくことが必要となります。BPMツールのモニタリング機能やレポート機能などを活用することで、それを継続的に実施できるだけでなく、後々にエビデンスとしての意義をその情報に与えることもできます。タイムスタンプの機能などを合わせると監視対象の有効性も明確になります。
情報の正しい伝達
情報の流れは重要です。メールのように自由にランダムにやりとりされる情報もありますが、企業のプロセスを押さえるうえでの情報は、正しい情報伝達ルートと正しい情報受信者の適切な判断が明確に行われる必要があります。
プロセスフローを明確に規定し、そこに確実に必要な役職者(職責)がアクセスし、行うべき判断をどう行ったかを記録し、次のプロセスに流れる仕組みを作ります。BPMの考え方をツールで実施することは難しくありません。また、ツールを利用する場合には、(逆の意味で大切なことですが)不必要な人間からのアクセスをさせない仕組みも盛り込むことができるので一石二鳥です。
統制活動における手続きの整理
内部統制のプロセスは簡単ではありません。正しい手続きを明確に設定しておくことが必要です。また、必要に応じて改善させていくことも必要です。そのためには現在どのようなプロセスが内部統制として設定されていて、どのように機能しているかを一目瞭然に見えるようにしておくことも必要です。
BPMツールなどのプロセスマップやフローの管理機能を利用することで、企業としての管理プロセスを把握しやすくできます。また、これは統治する側からだけでなく、監査する側や運用のプロセスに参加する側から見た場合にも、クリアにプロセスの理解ができることに貢献します。情報を正当にコントロールしていることをディスクローズするうえでも有効です。
また評価をしたうえで、プロセスを改善する場合にも、必要なタイミングで素早く改善活動を実施するうえでも非常に有効です。企業判断でプロセスを即座に変えなければならない場合に、もたもたしていては企業の死活問題になります。しかし、同時にいつ誰がそのプロセスをどう変えたかというエビデンスを残すことも重要であり、ツールを活用することで改善活動の柔軟性と即時対応性を確保しながら、エビデンスの確保も行うことができます。
リスクの分析・評価
内部統制のプロセスをBPMツールなどでモニタリング設定していれば、レポート機能を利用してプロセスの情報をさまざまなビューから情報収集することができます。「適切な人間がアクセスしているか(CEOは承認したか、CFOは資料を確認したのかなどもエビデンスとして残す)」「適切なタイミングでフローが処理されているか」「プロセスにかかった所要時間(コストにも反映される)は適切か」など切り口はさまざまです。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 爆売れだった「ノートPC」が早くも旧世代の現実
- VPNやSSHを狙ったブルートフォース攻撃が増加中 対象となる製品は?
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- HOYAに1000万ドル要求か サイバー犯罪グループの関与を仏メディアが報道
- ランサムウェアに通用しない“名ばかりバックアップ”になっていませんか?
- 大田区役所、2023年に発生したシステム障害の全貌を報告 NECとの和解の経緯
- 「Gemini」でBigQuery、Lookerはどう変わる? 新機能の詳細と利用方法
- PHPやRust、Node.jsなどで引数処理の脆弱性を確認 急ぎ対応を
- 攻撃者が日本で最も悪用しているアプリは何か? 最新調査から見えた傾向
- 標的型メール訓練あるある「全然定着しない」をHENNGEはどう解消するのか?
ITmediaはアイティメディア株式会社の登録商標です。