• Bookmark

Ecopetrol 社でITガバナンス、リスク、コンプライアンスに対応する COBIT 5 をマッピング

Alberto León Lozano、CISA、CGEIT、CIA、 CRMA著

COBIT Focus | July 2014 English

Alberto León Lozano垂直的に統合されたエネルギー企業であるEcopetrol S.A. は新しい戦略の一部として、成長と内部統制システムの強化という目的を掲げ、社内の変革に乗り出しました。同社は、IT サービスのガバナンスおよびマネジメントのための明確なアプローチと、世界的な参照基準とフレームワークが必要だということを認識していたため、トレッドウェイ委員会組織委員会 (COSO) とCOBITフレームワークを使用しました。これによって、社の内部統制への取り組みと完全に整合する強力なITガバナンスの実践手法を統合することができました。


2007 年にEcopetrol は企業戦略を更新しました。 そこで戦略目標を支援するために組織構造とプロセスに重大な変化と改善が必要になりました。その結果、内部統制システムを強化するために、会社の法的な体質の革新や国際業務の開始、COSO のInternal Control—Integrated Framework (内部統制 - 統合フレームワーク)の導入などの重要なマイルストーンが設定されました。Ecopetrol は2008 年9月にニューヨーク証券取引所 (NYSE) に株式を上場しました。


2008 年に、戦略の導入との整合性を確保し、会社の状況によって生じる要望にタイムリーかつ効果的に対応するために、Ecopetrol の情報技術部門 (DTI) は、適切なフレームワークに基づいてITマネジメントシステムを統合することを決定しました。 そしてITマネジメントシステム導入のための適切なITガバナンスフレームワークとして、COBIT が選択されました。


IT マネジメントシステムは企業情報の信頼性とセキュリティをサポートする重要なITコントロール目標に対応するために、COBIT 4.1 フレームワークを組み込みました。 それまでの5年間、ITマネジメントシステムの運用ではITリスク管理とコンプライアンスは非常にうまく行っていました。 ただし、DTI は Ecopetrol  が確立した成長と運用効率の課題に対して、常に対応できるよう態勢を整え続けていなければならない状態でした。 その目的は、これらの成果の持続可能性を推進するベストプラクティスを組み込むことです。


COBIT 5 のリリース後、DTI は現在の実践手法を拡張し、新しいマネジメントおよびガバナンスの実践手法へと拡大することでシステムの整合性と安定性を確保する戦略を確立しました。


この記事では以下について取り上げます。

  • COBIT  に基づくプロセス管理システムの導入成果と持続可能性、企業の内部統制システムの信頼性に対するプラスの影響について説明します。
  • 企業のIT (GEIT) のガバナンスおよびマネジメントにおける継続的で持続可能な改善を推進するために、最新の実践手法によって埋めるべきギャップを特定することで、運用モデルの拡張としてCOBIT 5を導入する方法を提示します。
  • 新しいプロセス評価モデルを組み込むことで行う、能力とパフォーマンスを対象としたプロセス成熟度評価の結果を提示します。この評価によって企業は、ギャップを埋めるための明確な措置を設定でき、プロセス成熟度の期待されるレベルを達成し維持することができます。

背景

Ecopetrol は規範と透明性を重視する企業です。コロンビア最大の一貫操業石油会社で、7,000 人の社員を直接雇用している Ecopetrol は、世界の大手石油会社上位40社に入り、中南米では4番目に大きい石油会社です。 Ecopetrol は同社の全生産量の60%を占めるコロンビアに加え、ブラジル、ペルー、米国(メキシコ湾)でも探査と生産活動を行っています。 また、バイオ燃料の生産も大幅に増加させています。


Ecopetrol のコーポレートガバナンス規範は、企業倫理を保持するために必要なベストプラクティスと、会社の適切なマネジメントおよびコントロールによって構成されています。 これによって同社は管理の透明性と、事業に関する情報の開示のための明確なポリシーに基づいて、株主、投資家その他の利害関係者の権利を認め尊重を示すことで、競争力を高めています。 その結果、利害関係者や市場一般からいっそうの信頼を得ています。 Ecopetrol の内部統制システムは、国際基準 (COSO) の枠組みで構成されています。


Ecopetrol のIT部門はイノベーションおよびテクノロジー担当副社長に直属しています。 その責務は、会社のためにITプロセスを統制することで、これには戦略、アーキテクチャ、ポートフォリオ、ITソリューションの導入と運用、ITのプロビジョニング、ビジネスプロセスを支援するためのインフラストラクチャサービスなどが含まれます。


DTI とITシェアドサービス部門(UTI)はそれぞれ、IT ガバナンスとマネジメントを実行する責任を担っています。 これらの部門は両方とも、IT 関連のビジネスニーズに合うように、分散された強力な組織機構を有しています。 また、IT 部門にはマネジメントおよびアーキテクチャ部門と情報セキュリティ部門が含まれ、これらはITガバナンス、リスク、コンプライアンス (GRC) に関連するプロセスを指導する IT 部門の最高レベルの担当者に報告を行います。


Ecopetrol が COBIT を選んだ理由

DTI は、以下のような COBIT の特性に基づいて、ITマネジメントシステムを統合するための適切なITガバナンスフレームワークとして COBIT を選択しました

  • ITの目標をビジネス目標にマッピング
  • 業務の焦点に基づいた、より優れた整合性
  • 経営幹部が理解しやすいITで実行されていることの展望
  • プロセス指向に基づいた、オーナーシップ及び責務の明確化
  • 第三者および監督機関に一般的に受け入れられている
  • 共通の言語に基づいてすべての利害関係者の間で理解が共有される
  • IT統制環境のCOSOと米国サーベンス・オクスリー法の要件が達成される

2008 年の第4四半期に、Ecopetrol のIT 部門は導入するガイドライン、プロセス、及びコントロール目標を定義しました。また、システムの導入をサポートする社内リソースを特定し、必要な社外コンサルタントを採用するためのリソースを割り当てました。


担当チームは以下の課題に特に配慮して、プロジェクトを立ち上げました。

  • リソースの割り当てに対応し、ITの関連分野の代表者から成る部門間の連携チームを結成する
  • ビジネス部門と他のサポート部門の関係の重要な点を定義し、財務、リスク、戦略、品質、内部監査と外部監査など、重要な領域と継続的に協働する
  • COBIT導入の取り組みを期待する輸送業務のITサポートチームと統合、交流する
  • ビジネスプロジェクトとの整合性を確保 — 内部統制システム(COSO)とコンプライアンス(サーベンス・オクスリー法)を強化するこれらの取り組みを確実に協調させ統合するために、DTIはさまざまなビジネスイニシアティブと継続的なプロジェクトについて検討しました。
  • 経営の最高レベルにおける指揮命令系統を確立し、週に一度、プロジェクトについてのフォローアップミーティングを行う
  • アプリケーションに関連する人材、リソース、インフラストラクチャを同等に理解して、以前のアプリケーション(サーベンス・オクスリー法、SAPの上位コンポーネント)と、ビジネスプロセスに必須のその他のアプリケーションを識別する

Ecopetrol は、サーベンス・オクスリー法準拠を支援するコントロール目標に優先順位をつけて、COBIT 4.1の導入する28のプロセスを選択しました。IT部門はこれらのプロセスの成熟度レベルを判断するための社内の作業を確立しました。平均成熟度レベルが2であるという結論を得た後、チームはギャップを特定し、大部分の重要なプロセスについてレベル3に向上させるための行動計画を設定しました。


2009 年下半期以来、サーベンス・オクスリー法準拠に関する年に1度の内部監査と外部監査が行われています。重要なITプロセスとコントロールの改善と向上のために、複数の対策が導入されました。その結果、外部の監査人から、最高情報責任者(CIO)、最高財務責任者(CFO)、最高経営責任者(CEO)または監査人に報告の必要があるITコントロールの重要な不備や欠陥は見つからなかったという報告が得られました。


2009 年12月、COBIT プロジェクトは、プロジェクトチームの成果、パフォーマンス、イニシアティブ、及びチームワークを称えられて、優秀賞を会社から授与されました。Ecopetrolの財務、管理、成長の成果は近年海外でも認識されるようになりました。


2009 年から2013年末までに、同社はITリスクの管理とコントロール、重要なパフォーマンス指標、内部および外部の監査、ITプロセスにおける能力とパフォーマンスの成熟度に関する評価において、優れた成果を示しました。


優れた事業運営の課題の一部として、Ecopetrol のIT部門はITのサービスとプロセスのガバナンスおよびマネジメントに向けた明確なアプローチを維持しています。そして、最善のグローバル参照基準に基づき、持続可能性と最適化の継続的な措置を実行して、ITのサービスとプロセスを評価しています。また、DTIは内部統制イニシアティブと完全に整合する強力なITガバナンスの実践手法を統合する目的で、COSO 2013やCOBIT 5などの新しいバージョンの実践手法を採用するための計画を立案しました。


主要な成功要因

2010 年に、IT部門はITマネジメントシステム用の持続可能性および最適化の計画を構成しました。これは包括的なビジョンと組織および運用モデルが備わっているという前提に基づいており、また、ITのプロセスとコントロールの自動化を達成するためにITを活用することが前提となっています。


Ecopetrolはまた、COBIT フレームワークのベストプラクティスを参考にし、リスク管理サイクルを統合して、ITコンプライアンス領域を構成しました。


Ecopetrol のITマネジメントシステムにおけるCOBIT活用の優れた成果につながった重要な論点には、以下があります。

  • COBIT の活用は、詳細な作業計画、明確に定義したマイルストーン、プロジェクト管理やリスク管理およびプロジェクトのタイミングと成果物のコントロールに重点を置き依存するチームワークの割り当てをともなうプロジェクトとして構成されました。
  • チームは経営幹部のサポートを全面的に受け、進捗レポートを提出し、どのような逸脱や保証が必要な行動についても報告を行いました。
  • Ecopetrolは著名な専門のコンサルティング会社と契約し、この会社が広範な知識と経験によってチームをまとめました。
  • プロジェクトの計画、進捗、成果については社内で効果的に共有が行われました。
  • プロセス所有者の実践内容とコントロールの責務の割り当ても確定され、正式に承認されました。
  • プロジェクトはすべての関連分野と十分に統合され、相乗効果が発揮されました。特に輸送業務のITサポートチームにおいて、それまでの取り組みの成果が得られ、ビジネスユーザーの観点も保証されるなどの効果果がありました。
  • 実践手法と管理について得られた教訓を伝え合うコミュニティが設置されました
  • 持続可能性戦略とプロセスの最適化の向上について定義されました。
  • IT部門は監査チームと効果的に交流することができました。
  • 職務分離、アクセスコントロール、継続計画、ソフトウェア開発、情報セキュリティ上の問題に特に重点が置かれました。
  • 成熟度レベルの評価は適格な独立したサードパーティによって行われました。
  • 20人以上の従業員がISACAの COBIT Foundation Exam に合格しました。
  • 数人の従業員がISACAのメンバーになりました。これによって、より詳細なガイダンスを利用しやすくなりました。

2013 年までに Ecopetrol はITプロセスの設計を更新し、統合ビジネスプロセスモデルに組み込みました。これによって横断的な活動の最適化や、標準化、簡素化が進みました。Ecopetrol は現在、ITガバナンスと COBIT 導入の実践手法を傘下のビジネスグループにも拡大しつつあります。


過去5年間、IT部門は外部のコンサルタントと契約し、重要なITプロセスの能力成熟度レベル評価を実施しました。年に1度のこの評価は、目標に応じて会社のプロセスの成熟度レベル3および4の達成を、確実に持続可能なものにします。また、IT部門は更新されたCOBITプロセス評価モデル (PAM:Process Assessment Model:Using COBIT 5) の原則を組み入れました。これには、プロセスの能力の評価だけでなく、ISO 15504標準のもとでのパフォーマンスの評価も含まれています。


最近の評価の結果では、16のITプロセスの能力成熟度が平均3.8で(図1)、同じプロセスのパフォーマンス成熟度が平均3.6であった(図2)という報告が行われました。

図1
図2


COBIT 5 による前進

成長と優れた事業運営、透明性、プロセスの情報における信頼性の保証への尽力、利害関係者に対する献身という課題に合わせ、IT部門はITプロセスをCOBIT 5に拡張すべく努めました。これはそれぞれの取り組みを統合し、シェアドサービスセンター(SSC)、マネジメントプロセスの統合(ビジネスプロセスマネジメント[BPM])、企業のリスク管理(ERM)、内部統制システム(COSO ERM)の設計と導入に関連する継続的な企業イニシアティブへの整合性を確保して行われました。


COBIT 5 の実践手法をマッピングしたコントロール目標を拡張し、持続可能性とプロセスベースの最適化モデルを構成したことで、EcopetrolはITプロセスの持続可能性と改善のための強力な基盤を維持できるようになりました。


COBIT 4.1ベースのシステムの整合性と安定性を確保するために、新しいマネジメントおよびガバナンスの実践手法を拡張する戦略が設計され、 これにはITにおけるGRC能力の向上のために、COBIT 5の実践手法を統合する重要な実用的な側面が含められました。これらすべてを通して利害関係者は、新しい実践手法が幅広い範囲を対象とし、これらの手法を組み込むことによって以前のITプロセスにすでに導入されているCOBIT 4.1のコントロール目標が拡張されることを理解できます。


この計画には現在のプロセスと COBIT 5 の実践手法をマッピングして埋めるべきギャップを特定することが含まれ、また、利害関係者やIT GRCプロセスの最適化の活用に関わる従業員と交流するための、関係性およびコミュニケーションの計画を確立するためのアプローチも含まれます。


図3 から図7は、Ecopetrol のITのコンプライアンスに関する課題と成果の進化について示しています。

  • ITのキーコントロールに関し、ガバナンス部門とマネジメント部門の間での分布状況は、最適化、優先順位付け、合理化の実践手法の適用によって進化しました。この進化はまた、プロセスの成熟と統合の結果でもあります (図3)。
    図3
  • 改善計画と監査の前に継続的なモニタリングによって報告されるITの主要なコントロールへのコンプライアンスは、プロセスの持続可能性によって進化しました (図4)。
    図4
  • ITの設計と運用に関する監査の発見事項のうち、改善計画前に報告された件数は、コントロールの最適化とプロセスの成熟に従って減少した。(図5
    図5
  • ITコントロールに関連する継続的なモニタリングによる主要な発見事項の改善のために作成された、行動計画 (図6)。
    図6
  • IT GRC実践手法に関連して、Ecopetrolはベストプラクティス、及び特にグローバルなフレームワークを導入しました(図7)。
    図7

結論

COBIT に基づくGRCプロセスの導入と持続可能性は、非常に緊急性の高い重要な努力を必要とするものですが、企業の内部統制システムの信頼性にプラスの影響を与え、ビジネス戦略を支援する信頼できる情報を確実に生成することにつながります。


以前のバージョンに基づくプロセス運用モデル上に COBIT 5 を導入するには、現在の結果に影響することなく、最新の実践手法を活用可能とする明確な戦略が必要です。 この戦略は、埋めるべきギャップを特定したり、コミュニケーションなどの重要な課題について検討したりすることで作成することができます。 その効果について特定し報告することも必要です。 この移行は、企業のITのガバナンスおよびマネジメントにおける、継続的で持続可能な改善を推進します。


プロセスの能力とパフォーマンスについて COBIT 5 PAM を使用し ISO 15504 を参照して行われる成熟度評価は、現在の成熟度レベルの到達点を検証し、目標達成に向けてプロセスの成熟度を改善するための行動を設定する上でのギャップを特定できる、重要なソースです。ただし、こうした評価の作成においては、その方法、評価者の能力、プロセス所有者の関わりなどの点で、永続的で厳密なものであることが求められます。


最後に、COBIT 5 の活用と持続可能性プロセスというコンテキストにおいては、情報の信頼性について成果が与える影響、ITが内部統制システムについて確信を持つこと、組織内の関連する課題の統合、継続的な外部による評価、文化と人材のマネジメント、コンサルティングサービスからの効果的な支援などが、重要な成功要因となります。


Alberto León Lozano、CISA、CGEIT、CIA、 CRMA

彼は、Ecopetrol S.A.の情報技術部門のITコンプライアンス責任者です。連絡先は以下のとおりです。 Alberto.Leon@ecopetrol.com.co

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.