“日本版SOX法”への対応を売りにする運用サービスが相次ぎ登場している。ITILの活用がベースになるが、内部統制の視点でユーザー企業に提案するには、サービス内容の見直しや整理が必要だ。
「アプリケーション開発に重きを置いてきたユーザー企業の情報システム担当者も、SOX法に対応するためにITILの重要性を理解してくれるようになった」—。
クリエイティブソリューション(東京都品川区、寺林史朗社長)の高橋信マネジメントサービス事業部システム部シニアコンサルタントは、今年2月に提供を開始した運用サービスの拡販に手応えを感じている。同社は、2003年から提供してきたITIL(ITインフラストラクチャ・ライブラリ)対応の運用サービスに、内部統制強化のサービスを追加して「ITIL運用サービス+COBIT」として提供を開始した。
 △ 図をクリックすると拡大されます |
|
表●日本版SOX 法対応に向けた運用サービスが相次ぎ登場している
|
実際、ユーザー企業のニーズは強い。他社に先駆け昨年9月から、日本版SOX法対応版のITIL適用アセスメントサービスを提供しているCSKシステムズは、昨年中に、ユーザー企業10社でアセスメントを実施した。引き続き引き合いは増えているという。
1年先送りで現実的対応可能に
企業の会計や財務報告の透明性・正確性を高めることを目的とする、いわゆる日本版SOX法は、「金融商品取引法(投資サービス法)案」に盛り込まれ、3月13日に国会に提出された。今国会での成立はほぼ確実で、2009年3月期決算から適用される見通しだ。
当初の見通しからは1年先送りになった格好だが「2007年4月までの準備期間は、ユーザー企業にとって短すぎる」(日立情報システムズの長島孝善販売企画本部アライアンス推進部部長代理兼内部統制プロジェクトアライアンスリーダー)との見方が大半だった。先送りでより現実的な対応が見込めるようになる。今こそソリューションプロバイダは、関連ビジネスに本腰を入れるべきだ。
日本版SOX法は、財務報告の正確性を担保するため、内部統制の強化を義務付けている。上場企業は、法対応への備えとして、データの伝達や記録の手順、それが正しく実行される統制の仕組みを整備しなければならない。そしてそれにはITの活用が不可欠だ。
会計や在庫管理システムといった業務アプリケーションの機能面で財務データの正確性を担保することに加え、それらのシステムを正しく継続的に運営するために運用プロセスの統制が求められる。そのためには、運用管理サービスにおいても内部統制を担保することが、極めて重要になるのだ。
COBITでITILのプロセスを補完
各社が提供する内部統制対応の運用サービスは、いずれもITILの運用プロセスをベースにしたもの。ITILの適用によって、運用プロセスを可視化・標準化することが、企業活動の正確さを担保することになるからだ。ただし、ITILだけでは足りない部分があり、それを補完する必要がある。
クリエイティブソリューションの「ITIL運用サービス+COBIT」は、ITIL対応の運用サービスに、ITガバナンスの成熟度を測る標準フレームワーク「COBIT」の管理プロセスや評価指標を盛り込んだ。ITILには、内部統制に関連する「タスクと責任」という記述があるが、数行の表記しかなく不十分だからだ。
一方COBITは、ITガバナンスを実現するために、米国の情報システムコントロール協会が策定したもので、指標や指標を使った改善のプロセスを定義している。クリエイティブソリューションは今回、COBITが定義するCSF(主要成功要因)やKGI(重要成果指標)、KPI(重要業績評価指標)といったプロセスや指標を追加した。作業指示は誰が出すのか、結果を誰が評価するのかといったプロセスや、オペレーションの自動化率の測定指標などはその一例だ。
CSKシステムズが提供する内部統制対応のアセスメントは、ITIL適用のためのアセスメントをベースに、内部統制の観点から、属人性や承認プロセス、文書化、セキュリティなどのチェック項目を加えた。全65問の質問からなるチェックリストを使って、ヒアリング形式で2日間の調査を実施する。
障害対応の手順やシステムの変更手続きなど、運用プロセスごとに100点満点で評価する。例えば、文書が整備されているか、承認体制があるかなど、内部統制の観点からリスクを洗い出す。アセスメント結果を基に、内部統制を実現するシステム運用の設計・構築支援サービスも提供している。
