J-SOX商談で、ソリューションプロバイダと監査人がともに「重要なビジネスになる」と口をそろえるのがアウトソーシング。特に中堅・中小企業向けのサービスは成長が期待できそうだ。中堅以下では、少人数のスタッフで属人的な運用をしている企業が少なくない。こうしたケースでは「運用を外部に委託すること自体が、J-SOXが求める『権限分掌』などの実現につながる」(新日本監査法人MNC部の榊正壽代表社員)からだ。
既存ユーザーからの要望を想定して、J-SOX対応に着手する企業も出てきた。CSKシステムズは、BPO(ビジネス・プロセス・アウトソーシング)を含むアウトソーシングサービスで、業務レベルから統制を強化する検討に入った。同社のBPO事業では「受発注や出荷など、財務にかかわる業務を受託している案件が多くある」(事業化推進部統括担当兼サービス営業部統括担当の遠藤正利氏)。このため、まずはEDI(電子データ交換)システムの統制を強化するパイロットプロジェクトをスタートさせる計画だ。
しかしソリューションプロバイダにとっては、監査への対応が悩ましい課題に浮上しそう。というのも、受託している業務内容がユーザー企業ごとに異なれば、文書化や評価といった監査対応をユーザー企業ごとに代行する必要が出てくるからである。対応を誤れば大きな作業負担がのしかかる。
監査では個別対応の代わりに、米国の「SAS70」や日本の「第18号監査」といった委託業務を対象にした監査証明を取得して、ユーザー企業の監査人に渡す方法がある。しかしユーザー企業ごとに異なる業務を受けている場合は、手間が減ることはない。SAS70取得のために、「異なる業務ごとに文書化や評価の作業が必要」(榊代表社員)だからだ。
現状でできることは、受託した業務プロセスの標準化をできるだけ進めることと、受託業務を複数のユーザー企業に共通する「標準化された部分」と、ユーザー企業ごとに異なる「個別の部分」に切り分けて監査対策を用意すること(図5)。例えば、NECネクサソリューションズは運用受託サービスに、標準したプロセスをアラカルト式で用意。ユーザー企業が選択しやすい形にした。業務プロセスの標準化が進めば、「その部分を切り出して、監査証明を取得する方法がある」とトーマツ企業リスク研究所の久保惠一所長は話す。
 |
| 図5●標準化した部分を切り出す 「SAS70」などの監査証明は業務範囲を限定してでも取得できる |
もっとも、ITインフラの運用でさえ「ユーザーごとに異なる手順で運用を受けている例も多い」(富士通サポートアンドサービス サービス企画部兼オンサイトサービス支援部の佐藤昭博専任部長)。BPOになると「顧客の業務はノウハウの固まり。それをITサービス企業の論理で標準化することはあり得ない」(アルゴインテリジェントサービス BPO企画営業部の村上光則部長)のも事実である。
一般には、監査対応にかかったコストは、ユーザー企業が負担することになる。受託しているユーザーの業務がJ-SOX対策の対象になるのか、早めにユーザー企業と協議をした方がよい。
