日本版 SOX法に商機あり！
ITILとの“融合” サービスを提案せよ

攻めの運用ビジネス

日経ソリューションビジネス

2005.12.15

　「運用を攻めのビジネスに変える」──。運用ビジネスを手掛けるソリューションプロバイダにとって、共通の課題だ。あいまいな業務プロセスで属人的になりやすく、人月単価の単純な請け負いビジネスのままでは、ユーザー企業のコスト削減要求に疲弊するだけだ。ソリューションプロバイダは、運用プロセスを可視化・標準化し、サービスレベルを明確化するためのITILにこぞって取り組み、ビジネスの変革を急いでいる。
　そこに、「日本版SOX法」という新たなキーワードが降りかかってきた。早ければ2007年度決算から適用が見込まれ、上場企業は対応を余儀なくされる。ユーザー企業の経営責任に直結する課題だけに、せっかく実を結び始めたITILビジネスがそっちのけになりかねない。不可避のSOX法対策に比べれば、ITIL適用の取り組みは、経営者には、単なる“努力目標”とも映るだろう。
　だが、SOX法とITILは、水と油ではない。両者をそしゃくし、“融合”した運用サービスを提案できれば、さらに大きな果実を得るチャンスなのだ。SOX法時代の運用ビジネスとは何か、その答えが求められている。

　「1年前、システム運用へのITIL適用に取り組む米国企業を調査した。ITILを採用した理由を聞くと、米SOX法への対応のためだという話が出てきた」──。CSKシステムズの谷口学・西日本事業本部システムサービス事業部事業部長は、ITIL（ITインフラストラクチャ・ライブラリ）をベースにした日本版SOX法対応の運用ビジネスの展開を急ぐきっかけを、こう説明する。同社は今年9月に、ITILを使った運用サービスを日本版SOX法対応の視点で見直し、ユーザー企業に提供し始めた。既に2～3社のユーザー企業で、SOX対応版のアセスメントを実施中だ。

　日本IBMは、運用にITILを採用した独自のフレームワークを用意することで、ユーザー企業に運用サービスにおける日本版SOX法対策のあり方を示す。「Process Reference Model for IT」と呼ぶ標準フレームワークを構築中で、来年6月に提供を開始する。コンプライアンス管理やセキュリティといったITILを補完するプロセスも追加し、1000ページに及ぶドキュメントとして整備している。

　ソリューションプロバイダ各社は、日本版SOX法への対応を視野に、自社の運用ビジネスの改革に着手した。日本版SOX法は、企業の会計や財務報告の透明性・正確性を高めることを目的とした法律で、内部統制の義務化を規定している。内部統制とは、企業活動の有効性や効率性、財務報告の信頼性などの目的を達成するために、財務処理の証拠文書の記録や承認などの業務プロセスを整備することである。

　日本では今年7月、金融庁企業会計審議会が「財務報告に係る内部統制の評価及び監査の基準」、いわゆる「日本版SOX法」の草案を公開、今年11月にはその修正案も明らかになった。早ければ2008年3月期の決算から適用される見込みで、大半の上場企業は、2007年4月までに、日本版SOX法に準拠した内部統制の仕組みを整備しなければならなくなる。

　企業活動にITは不可欠であり、内部統制の実現には、ITの領域での対応が欠かせない。実際、日本版SOX法の草案でもITに対する統制が明文化されており、会計システムや販売管理システムなどを適切に運用しているかどうかが監査の対象となる。そして、ITの正確性や信頼性を維持して継続的に運営するのは、運用サービスの役割にほかならない。

　運用ビジネスにおいては例えば、サーバーやネットワーク、ソフトウエアといったインフラが確実に動作し、性能低下やシステムダウンが起きないように監視されているか、また、ソフトウエアの変更が確実に承認・テストされた形で行われ、文書化されているかなどが内部統制上の課題として問われる。場合によっては、会計上の不正などが行われていないことをシステム運用面で担保することも求められる。会計処理の正確さに疑念を与えるような、システムの運用プロセスの不備は許されなくなる。

　日本版SOX法は、すべての上場企業が適用対象。およそ4000社あるこれらの企業は、ソリューションプロバイダにとって、最重要の顧客であり、SOX法対応を求められれば、ノーというわけにはいかない。さらに「上場企業の運用ビジネスは手掛けていないから日本版SOX法は自分には関係ない」では済まされない。日本版SOX法での監査の目は、連結子会社にも及び、子会社の財務情報にかかわるITが正しく運用されているのかがチェックされるからだ。そう考えれば、大半のソリューションプロバイダにとって、運用ビジネスをいかに素早く日本版SOX法に対応すべく変革していくかは、焦眉の課題である。

　加えて、アウトソーシングなどで運用を請け負うソリューションプロバイダ自身が監査対象となることの影響も大きい。「自社の提供する運用サービスが、内部統制の要件を満たしていなければ、競合に仕事を奪われることにもなりかねない」（新日鉄ソリューションズの藤本英文ITエンジニアリング・サービス事業部副事業部長）のだ。

　当然、自らが上場企業であるソリューションプロバイダは既に、自社の内部統制に取り組み始めている。新日鉄ソリューションズは今年10月、コンプライアンス、セキュリティ、災害リスクなどへの対応を推進する「BCM（Business Continuity Management）推進室」を設置。自社内での内部統制構築の取り組みを開始した。自社で構築したノウハウを、ユーザー企業向けの運用ビジネスなどにも取り込んでいく計画だ。