サービスプロバイダ利用は変化していく
SOX法対応初年度から2年度目にかけて、企業はシステムサービスプロバイダをルーティンワークに使う傾向がある。例えば、初年では外部コンサルタントはしばしば、ITやシステムコントロールの文書化を行い、2年目にはITコントロールの検証とテストを行っている。それ以外では、データモデリングやベンチマーキングなどにも外部コンサルタントが使われる。
300万人の会員を抱えるカリフォルニア州の健康保険団体(HMO:Health Maintainance Organization)は、SOX法対応の初期の段階では、ITコンサルタントに大きく依存し、ITコンサルタントは以下のような作業を行った。
- コントロールテスト
- システム導入(新しいアプリケーション、ソフトウェア、ハードウェアの導入など)
- システム関連作業(既存ソフトウェアの修正、テクノロジープラットフォームの調整、トレーニングや教育、監査など)
HMOのSOX法対応責任者によれば、SOX法対応中、ITプロセスをさらに改善していきたいというニーズが生まれ、それとともに外部コンサルタントを使う機会が増したと言う。
企業はSOX法対応当初、対応期限を守るためにコンサルタントを使うが、時間とともに、コンサルタントをより戦略的に利用する傾向が見られる。企業がSOX法対応を機に、社内のプロセス全体を見直したり、システム再構築をするなど、長期的な改善や企業戦略の実行を視野に入れるとき、戦略作りからシステム導入までを実施できる外部サービスプロバイダの戦略的利用が検討されるからである。この場合は、SOX法対応というよりも、ビジネスプロセスの改善や企業のトランスフォーメーション(改革)がサービスプロバイダ利用の目的となる。
テクノロジーサービスプロバイダの事業機会は、企業がSOX法対応を始める前から存在する。既存のソフトウェアがSOX法対応の要件を満たさないと判断する企業の中には、SOX法対応開始前に、あるいは対応作業の一環としてERPパッケージを導入する企業もある。実際、年商4億8600万ドルの石油・ガス発掘会社であるDanbuli Resourceでは、既存ソフトウェアがSOX法の要件を満たさないと判断し、数百万ドルをかけて新しくSAPを導入しているのである。
こうしたことが決して珍しくはないという証拠に、CIOを対象としている「CIO Insight」誌によると、85%の上場企業は、SOX法対応の一環としてITシステムに何らかの変更を施そうとしていることを報告しているのである。
SOX法対応を行う企業に見られる共通の懸念は、互換性のないテクノロジーである。古いシステムにコントロールを入れたり、互換性に欠けるシステムを通して一貫性のあるプロセスを導入していくことは困難だからだ。米国では超ハイテク企業と考えられる国防企業であるNorthrop Grummanでさえも、過去において多数の企業を買収しているため、多種にわたる互換性のないプラットフォームが多数社内に存在しており、SOX法対応作業を困難なものにした。一方で、このことがテクノロジー・アップグレードやシステムの適正化を支援するシステムサービスプロバイダのニーズを生む。
大手各社のSOX法対応アプローチ
システムサービスプロバイダはSOX関連サービスについて、次のようなアプローチを取っている。
- 「SOX法対応サービス」として独立したサービス(フルサービスあるいはコンポーネント化したサービスなど)を提供
- SOX法に特化したサービスは開発せず、既存のサービスに規制対応サービスを統合
アプローチの違いは、プロバイダー企業の生い立ちや、既存顧客の状況とサービスポートフォリオによって異なる。
Capgemini
SOX法対応を迫られる大手グローバル企業を多数顧客に抱えるCapgeminiは、同社が提供するさまざまなサービスメニューに適切な規制対応を組み込むと同時に、ギャップ分析や評価サービス、訓練プログラム、SOX法プログラム管理などSOX特定のサービスも開発した。また、同社が提供するBPO(ビジネスプロセスアウトソーシング)、ITアウトソーシング、テクノロジーサービス、そしてコンサルティングサービスなどにもSOX法対応機能を組み込んでいる。同社のSOX法関連イニシアティブは「グローバルリスクマネージメント、コンプライアンス」部門が中心となって推進されている。
Capgeminiの場合、SOX法関連のビジネスは単なる規制対応というよりも、投資収益率(ROI)と競争上の強みをもたらす戦略的ソリューションの創造と位置付けている。同社は規制対応作業と顧客へのアドバイスの基礎として利用する「Compliance IT Effectiness(CITE)」フレームワークを開発し、このフレームワークを使ってアセスメントやギャップ分析サービスを顧客に提供している。例えば、CITEアセスメントには、規制対応にインパクトをもたらす人、プロセス、ITコントロール、リスクやカルチャーなどのアセスメントが含まれる。
IBM
IBMの場合、SOX法をも含む総合規制対応ソリューションを開発し、同社のサービスに統合し提供している。同社が開発した「IBM Risk and Compliance Framework」を使い、顧客企業は、規制対応にかかる特定のニーズと、それを満たすIBMやIBMビジネス・パートナーが提供するさまざまな商品・サービスをマッチすることができる。
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。