IBMはSOX法だけではなく、最近施行された50の法規制に見られる共通点を搾り出し、顧客企業が統合ソリューションを作ることを支援しているが、その統合ソリューションは以下のようなツールをもとに(上流から下流まで)全サイクルに渡る。
ツール名 | ツールの属性 |
---|---|
IBM Workplace for Business Controls and Reporting | 規制対応支援ツール |
IBM Tivoliマネジメントソリューション | システム管理 |
-IBM Global Services Business Consulting Service | コンサルティング |
EDS
EDSの場合は、提供するサービスにSOX法対応ソリューションを組み入れているが、SOX法対応と銘打ったサービスは提供していない。IBMと同様、EDSもSOX法に限定されない共通のソリューション・コンポーネントをまず開発した。それらには以下のようなものが含まれる。
- 分かりやすい監査証跡
- 標準セキュリティフレームワーク
- オフィスオートメーション
- システムとレポジトリ(コンテンツの再使用やデータアクセスを簡素化)
- 共通のアドミニストレーション並びにシステム構築ツール
- 基本ワークフロー
EDSの規制対応ソリューションの特徴は、(IBMが可能な限り自社ツールを使っているのに対して)標準的なコマーシャルプロダクトを使い、チーム作業がしやすいようなコンプライアンス・インテグレーション・ポイントを提供していることである。
EDSも他のシステムサービスプロバイダと同様、規制対応フレームワークを開発した。それは「Reference solution architecture」と呼ばれるもので、以下のような構造となっている。
ユーザー層 | 内部ユーザー | 外部ユーザー |
---|---|---|
インターフェース層 | インターフェース(ブラウザ) | |
プロセス層 | ユーザーアクティビティをサポート(通知、ワークフロー、測定など) | コンプライアンスをサポート(アクティビティ・トラッキング、ナレッジベース) |
データ | コンプライアンスのためのデータ(データ、ドキュメント) | コンプライアンスの報告や分析のためのデータ(ディレクトリ、ERP、ビジネス・アプリケーション) |
Reference solution architectureにより、ユーザー企業は規制対応活動に費やす時間を短縮でき、ツールとコンプライアンス活動が直結した構造化された環境を提供されることになる。また、ITの対応については、パッケージソフトウェアを使うことでコスト抑制が可能になり、拡張可能なプラットフォームは将来の開発コストを削減することができる。
ここまで見てきたように、SOX法を含めた規制対応に異なったアプローチを取っているものの、システムサービスプロバイダには次のような共通点が存在する。
- 各社独自の規制対応(コンプライアンス)フレームワークの構築:
案件ごと、あるいは既に提供しているサービスごとに規制対応を施していくのは面倒な作業となる。ある程度標準化したアプローチを取るために、フレームワークが利用されている。フレームワークは顧客がサービスプロバイダの取るアプローチを理解するうえでも役立つ - SOX法だけでなく、さまざまな規制に焦点:
企業が行わなくてはいけない規制対応はSOX法だけではなく、業界ごとに多数の規制が実施されており、企業はその対応を迫られている。そのため、サービスプロバイダはSOX法というよりも規制対応という観点でのアプローチを行っている
規制対応が、実際のビジネスやITプロセスの改善と密に関係していることから、サービスプロバイダにとって規制対応、あるいはSOX法対応だけの収入を認識することは困難である。しかし、規制対応はユーザー企業にとって、「やらない」という選択肢がないため、確実にサービスプロバイダのビジネスを増やす。そのために、サービスプロバイダは顧客のニーズのあらゆる側面に素早く対応できるよう、フレームワークを作り、ギャップ分析、リスク評価、ストレージマネジメント、ILM(インフォメーション・ライフサイクル管理)などのサービスコンポーネントを多数準備している。
増えるビジネスチャンス
SOX法はシステムサービスプロバイダにとって、多くの事業機会を生み出したことは事実だが、各社ともSOX法関連サービス収入を取り出して報告していないため、その規模は不明である。Capgeminiなどのコンサルティング機能が強いサービスプロバイダはフルスコープ(コンサルティングからシステムの修正まで)の幅広いサービスを提供できる。
一方、ITアウトソーシングやシステムインテグレータなどが中心で、コンサルティング機能を含めたトータルサービスを売り物にしていないプロバイダは、既存のサービスをSOX法に対応させ、それを売り物としている。企業のSOX法対応目標が直近の期限厳守から長期的なビジネスプロセスの改善や改革に向いていくとき、サービスプロバイダのビジネスチャンスもまた増える可能性がある。しかし、顧客の要求が戦略的になるにつれ、サービスプロバイダもさらに高度なスキルと専門知識が必要となってくる。
日本版SOX法とITの関わり、ツール導入を実践する際の留意点などをまとめた「導入間近に迫る、日本版SOX法ソリューションガイド」もあわせてご覧下さい。