野村総合研究所(NRI)は、開発、運用などのシステム関連業務全般でいわゆる「18号報告書」を顧客企業に提出できる体制を整えた。2009年3月末に年度末を迎える顧客企業のうち、事前に希望した顧客を対象に18号報告書を提供する計画だ。18号報告書をNRIから受け取った企業は、日本版SOX法(J-SOX)対応で外部委託先の監査を省略できるメリットがある。
NRIの新サービスの特徴はシステム構築関連業務を標準化し、すべてのシステム関連業務を対象にした報告書を用意したことだ。顧客企業ごとに18号報告書を用意する企業は多いが、システム開発業務も含め全社で統一の報告書を用意する例は珍しい。
18号報告書は外部委託先業務について、内部統制の整備・運用状況を監査法人が監査し、作成する報告書。外部委託先の内部統制の整備・運用状況の監査基準が「監査基準委員会報告書第18号」であることから、通称「18号報告書」と呼ばれている。J-SOX適用企業がJ-SOXの対象範囲となる業務を外部委託している場合、自ら監査に出向くなどして内部統制の整備・運用状況を確認しなければならない。外部委託先から18号報告書の提供を受けた場合、自らの監査を省略できる。
NRIは、設計・開発・テストといったシステム開発関連の業務のほか、変更管理、システム運用、障害管理といった運用関連業務、セキュリティ管理業務を対象に18号報告書を用意した。06年から準備を進め、「全社的に各業務を標準化した結果、統一的な18号報告書を用意できた」(品質監理部の森田太士氏)。NRIはITガバナンスの標準的なフレームワーク「COBIT」をベースに、内部統制を整備・運用している。
18号報告書が必要な顧客はNRI側の準備のために、年度が始まる前にNRIに伝える必要がある。18号報告書は希望した顧客企業に有償で提供する。費用は「顧客数に応じて変わる。取得にかかった費用を応分で請求するのが基本的な考え方だ」(同)という。
