米SOX法の実態:第4回「事業機会をとらえるシステムサービスプロバイダ」

小川潔美、Bonnie Kortrey(野村総合研究所アメリカ) 2006年06月30日 10時00分

  • このエントリーをはてなブックマークに追加

 米国企業はSarbanes-Oxley法(SOX法)の対応期限を厳守するため、社内のリソース不足、あるいは専門知識の欠如を補う手段として、外部のサービスプロバイダの活用を促進した。前回はSOX対応を迫られた企業のIT対応プロセスについて触れたが、今回は、CapgeminiやIBM、EDSといった「システムサービスプロバイダ」が、顧客企業のSOX法へのIT化ニーズにどのように対応し、ビジネスに結び付けているかを説明する。

なぜシステムサービスプロバイダが利用されるのか

 SOX法対応要件を満たすために企業が行う主なIT関連業務には、他の法規制対応も踏まえたアプリケーションやインフラストラクチャの更新があるが、このことがITサービスのニーズを高めている。そして、システムサービスプロバイダの需要は今後更に増加することが予想される。

 調査会社のGartnerによれば、規制対応のためのIT関連コストの伸びは従来の2倍の速さで伸びており、極端な例では、IT予算のほとんどを規制対応に向けている企業さえも存在する。同社の調査によれば、最高情報責任者(CIO)の多くが、2006年IT予算の10%以上がSOX法対応関連に向けられていると言う。しかし実際には、規制対応とは関係なく、企業は継続的に「テクノロジーリフレッシュ」(テクノロジーを最新・最善に保つ)を行っているので、SOX法関連コストと通常のコストを明確に分けるのは難しい。

 また、別の調査会社AMRによれば、2006年度のSOX法対応コストは総額60億ドルにのぼり、その内訳は、社内人件費(39%)、テクノロジー費用(32%)、外部コンサルティング費用(29%)となっている。いずれにしても、人件費がコストの大きな割合を占めていることは確かである。特にSOX法では膨大な文書化が要求されており、その部分はどうしても人手に頼らざるを得ない。

 では実際にどの程度、外部のシステムサービスは利用されているのだろうか(なお、ここで言うシステムサービスは必ずしもシステムに直接関連したサービスばかりでなく、エンドユーザーのトレーニングなど周辺サービスも含まれる)。

 2006年初旬、財務担当者向け専門誌である「CFO」誌が企業役員を対象に行った調査によれば、SOX法の第404条(内部統制の文書化条項)のために外部コンサルタントを雇った企業は60%にのぼる。SOX法対応作業の中でも文書化は最もリソースを消費する部分であり、企業の多くがそれを行うためのマンパワーと専門知識に欠けているため、必然的に外部支援が必要となるからだ。

 通常、SOX法に準拠することになった企業は、1年目に要件の洗い出しと全般統制の文書化、2年目はシステムテストや修正を行い、3年目以降からシステムの維持・改善(メンテナンス)を行うことになる。2004年にSOX法に準拠した財務報告を求められた第一グループ(株式時価総額7500万ドル以上の大規模上場企業)は、すでにこの段階に到達しているが、今後、規模の小さい多くの企業がSOX法準拠を始めて、対応サービス市場が成長するにつれて、監査法人、コンサルティング会社、システムサービスプロバイダ間での競争が予想される。

 競争になった場合、コンサルティング機能を持つシステムサービスプロバイダが有利な立場を保てるといわれている。というのも、リスク管理をはじめとした上流工程作業から、そこから策定された計画をもとにテクノロジーを導入するフルサービス機能、そして主要なテクノロジーベンダとの関係を既に持っているからである。

SOX法対応は事業機会でありチャレンジでもある

 SOX法対応をきっかけとして、自社に肯定的な変化をもたらしたいと考える企業がある。こうした企業には、プロセスの再構築(BPR)やシステム導入・統合プロジェクトの需要がある。その一方で、サービスプロバイダが提供しているサービスが直接、規制対応の対象となっている場合、リスク回避を望む役員はサードパーティの利用を懐疑的に見たり、利用決定に慎重になったりする結果、サービスプロバイダにとっては、契約を獲得するための時間(セールスサイクル)が長期化する。こうしたことから、SOX法対応は、システムサービスプロバイダにとって事業機会であると同時にチャレンジでもあると言える。

 企業がSOX法対応支援にサービスプロバイダを使う要因としては、次のようなことが考えられる。

  • 社内リソースの欠如
  • サービスプロバイダとの既存の関係を利用することで、時間短縮が可能
  • サービスプロバイダが持つ専門知識
  • 効果的な規制対応を行うためにシステムをアップグレードなど

 通常、サービスプロバイダを使う理由にはコスト削減が含まれる。SOX法対応の場合、企業が期限通りにSOX法対応を完了することで、ペナルティやその他のリスク要素を回避できることがコスト削減につながるからだ。

 SOX対応法のために企業が外部サポートを頼るとき、サービスプロバイダには、

  • 業界経験
  • 規制対応経験と専門知識
  • 既存の関係
  • インフラストラクチャの経験

などの要件が課せられる。こうした要件を満たすサービスプロバイダであれば、SOX法対応プロジェクトを加速することができる。

日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。

  • このエントリーをはてなブックマークに追加
関連キーワード
運用管理

関連ホワイトペーパー

SpecialPR

連載

CIO
ハードから読み解くITトレンド放談
大木豊成「仕事で使うアップルのトリセツ」
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
企業セキュリティの歩き方
サイバーセキュリティ未来考
セキュリティの論点
ネットワークセキュリティ
スペシャル
Gartner Symposium
企業決算
ソフトウェア開発パラダイムの進化
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化