日立システムアンドサービスは、調査コンサルティングのアイ・ティ・アール(ITR)と提携して、情報システム部門のの内部統制対応状況を診断する「ITガバナンス診断サービス」を6月1日から発売する。価格は200万円(税別)からとなっており、今後3年間で50社への販売を目指す。
ITガバナンス診断サービスは、ITRが提供するITマネジメント成熟度診断サービスである「IT@Governance」を使用して、現時点でのIT全般統制を評価して、管理・運営の状況を把握して、課題を明確にする。具体的には約1000問の質問に○×方式で答えることで、「IT戦略」「ITリスク」「ITアーキテクチャ」「IT投資」など9つのマネジメントドメインと「体制」「手順化」「文書化」など5つの領域から集計・分析して、成熟度を評価する。
日立システムでは、ITガバナンス診断サービスで得られた評価を、同社がすでに提供している「システム運用管理ソリューション」や「セキュリティソリューション」と組み合わせることで、企業のIT全般統制の「課題発見から課題解決までをシームレスに支援することができる」(内部統制ビジネス推進センタ センタ長を務める石井清氏)としている。今回提供開始となるITガバナンス診断サービスは、2006年10月にも提供予定の「ITガバナンス強化コンサルティング」に含まれるサービスという位置付けになっている。
同社は2006年4月に企業の日本版SOX法対応を支援する専門組織として「内部統制ビジネス推進センタ」を設立している。同組織でセンタ長を務める石井氏は、日本版SOX法への企業の対応は「まだ理解フェーズの段階にあり、どう対処したらいいのか情報を収集しているところ。初めての経験であるために、対応ノウハウのコンサルティングが必要と考えている」と説明する。
「内部統制に関連したサービスを提供する側として、コンサルティングファーム、監査法人、ソフトウェアベンダ、システムインテグレータ(SI)という4つが動いている。ただ、内部統制は単に製品を導入して解決するものではない。製品売りではなく、全体を見渡すことのできるSIに強みがある」(石井氏)
また先に挙げた4つのうち、コンサルティングファームはSOX法特需で「売り手市場となっており、人材不足であり、案件を選んでいる」(同氏)という。監査法人は「SOX法を勉強している段階。コンサルティングが許可されていない」としている。
そういった状況のなかで日立システムとしては「業務統制とIT統制を切り離して、情報システム部門だけ独立して、先にITガバナンスの整備を進めることも有効」(同氏)という方針を取っている。今回提供するITガバナンス診断サービスも、同社のこの方針に沿ったものだ。