米国企業はSarbanes-Oxley法(SOX法)の対応期限を厳守するため、社内のリソース不足、あるいは専門知識の欠如を補う手段として、外部のサービスプロバイダの活用を促進した。前回はSOX対応を迫られた企業のIT対応プロセスについて触れたが、今回は、CapgeminiやIBM、EDSといった「システムサービスプロバイダ」が、顧客企業のSOX法へのIT化ニーズにどのように対応し、ビジネスに結び付けているかを説明する。
なぜシステムサービスプロバイダが利用されるのか
SOX法対応要件を満たすために企業が行う主なIT関連業務には、他の法規制対応も踏まえたアプリケーションやインフラストラクチャの更新があるが、このことがITサービスのニーズを高めている。そして、システムサービスプロバイダの需要は今後更に増加することが予想される。
調査会社のGartnerによれば、規制対応のためのIT関連コストの伸びは従来の2倍の速さで伸びており、極端な例では、IT予算のほとんどを規制対応に向けている企業さえも存在する。同社の調査によれば、最高情報責任者(CIO)の多くが、2006年IT予算の10%以上がSOX法対応関連に向けられていると言う。しかし実際には、規制対応とは関係なく、企業は継続的に「テクノロジーリフレッシュ」(テクノロジーを最新・最善に保つ)を行っているので、SOX法関連コストと通常のコストを明確に分けるのは難しい。
また、別の調査会社AMRによれば、2006年度のSOX法対応コストは総額60億ドルにのぼり、その内訳は、社内人件費(39%)、テクノロジー費用(32%)、外部コンサルティング費用(29%)となっている。いずれにしても、人件費がコストの大きな割合を占めていることは確かである。特にSOX法では膨大な文書化が要求されており、その部分はどうしても人手に頼らざるを得ない。
では実際にどの程度、外部のシステムサービスは利用されているのだろうか(なお、ここで言うシステムサービスは必ずしもシステムに直接関連したサービスばかりでなく、エンドユーザーのトレーニングなど周辺サービスも含まれる)。
2006年初旬、財務担当者向け専門誌である「CFO」誌が企業役員を対象に行った調査によれば、SOX法の第404条(内部統制の文書化条項)のために外部コンサルタントを雇った企業は60%にのぼる。SOX法対応作業の中でも文書化は最もリソースを消費する部分であり、企業の多くがそれを行うためのマンパワーと専門知識に欠けているため、必然的に外部支援が必要となるからだ。
通常、SOX法に準拠することになった企業は、1年目に要件の洗い出しと全般統制の文書化、2年目はシステムテストや修正を行い、3年目以降からシステムの維持・改善(メンテナンス)を行うことになる。2004年にSOX法に準拠した財務報告を求められた第一グループ(株式時価総額7500万ドル以上の大規模上場企業)は、すでにこの段階に到達しているが、今後、規模の小さい多くの企業がSOX法準拠を始めて、対応サービス市場が成長するにつれて、監査法人、コンサルティング会社、システムサービスプロバイダ間での競争が予想される。
競争になった場合、コンサルティング機能を持つシステムサービスプロバイダが有利な立場を保てるといわれている。というのも、リスク管理をはじめとした上流工程作業から、そこから策定された計画をもとにテクノロジーを導入するフルサービス機能、そして主要なテクノロジーベンダとの関係を既に持っているからである。
SOX法対応は事業機会でありチャレンジでもある
SOX法対応をきっかけとして、自社に肯定的な変化をもたらしたいと考える企業がある。こうした企業には、プロセスの再構築(BPR)やシステム導入・統合プロジェクトの需要がある。その一方で、サービスプロバイダが提供しているサービスが直接、規制対応の対象となっている場合、リスク回避を望む役員はサードパーティの利用を懐疑的に見たり、利用決定に慎重になったりする結果、サービスプロバイダにとっては、契約を獲得するための時間(セールスサイクル)が長期化する。こうしたことから、SOX法対応は、システムサービスプロバイダにとって事業機会であると同時にチャレンジでもあると言える。
企業がSOX法対応支援にサービスプロバイダを使う要因としては、次のようなことが考えられる。
- 社内リソースの欠如
- サービスプロバイダとの既存の関係を利用することで、時間短縮が可能
- サービスプロバイダが持つ専門知識
- 効果的な規制対応を行うためにシステムをアップグレードなど
通常、サービスプロバイダを使う理由にはコスト削減が含まれる。SOX法対応の場合、企業が期限通りにSOX法対応を完了することで、ペナルティやその他のリスク要素を回避できることがコスト削減につながるからだ。
SOX対応法のために企業が外部サポートを頼るとき、サービスプロバイダには、
- 業界経験
- 規制対応経験と専門知識
- 既存の関係
- インフラストラクチャの経験
などの要件が課せられる。こうした要件を満たすサービスプロバイダであれば、SOX法対応プロジェクトを加速することができる。
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。