コンプライアンス(法令遵守)ビジネス、花盛り

2005/9/16

 ヒューレット・パッカード、IBMを始め、SAP、オラクル、NEC、日立製作所など企業の情報システム構築に携わるITベンダは法規制が強力な商機であることを認識しており、自社製品・サービスを法制にマッピングして、顧客に説得力のあるシナリオを提示することに心血を注ぐ。現在では、米国SOX(サーベンス・オクスリー)法(および日本版SOX法)が商機をつかむための格好のターゲットとなっている。ユニークなのは、各ITベンダの得意領域によって、法規制に対するアプローチの仕方とアピールポイントに違いが見られること。

 9月14日にBI(Business Intelligence)ツールを発表したコグノスでは、全社的な情報活用基盤の標準化という側面から日本版SOX法に言及し、特定非営利活動法人 UMLモデリング推進協議会(UMTP)では、企業統治のために内部統制の可視化でビジネスプロセスのモデル化が求められるとして、SOX法に触れている。

日本ヒューレット・パッカード ソフトウェア統括本部 ソフトウェアマーケティング部長 河口雄一郎氏

 今回、HPは監査作業を支援するツールを発表し、同時にSOX法につながるシナリオを提示することで、米国での上場を計画する企業の短期的なニーズを刺激すると同時に、日本版SOX法の対応準備を検討し始めた企業に対しては、上流工程のコンサルティングの存在をアピールした。

 日本HPが9月15日に発表したのは、SOX法に対応した運用管理製品「HP OpenView Compliance Manager」(OVCM)。米国で上場を計画するグローバル企業や日本版SOX法を見据えて「コンプライアンスの取り組み強化を検討している企業をターゲット」(日本ヒューレット・パッカード ソフトウェア統括本部 ソフトウェアマーケティング部長 河口雄一郎氏)とする。

 OVCMは運用管理ツールではなく、純粋に監査を目的とした製品。企業のIT総責任者や監査役、管理部門責任者、経理財務責任者といったポストにある人々が活用する。(SOX法に基づく)内部統制が求めるITシステムの監査内容のうち、IT全般統制にかかわるものを既存のOpenView製品の監視データから自動的に収集・集約し、監査に有効な指標としてのレポートを作成する。指標には「重要統制評価指標(KCI=Key Control Indicator)」と「重要リスク評価指標(KRI=Key Risk Indicator)」の2つを用いる。

 OVCMが依拠する内部統制の枠組みは、COSOフレームワークである。COSOとはコーポレートガバナンス、効果的な内部統制、ビジネス倫理を通じて財務報告の品質の向上を行う米国のボランティア団体(トレッドウェイ委員会組織委員会)が定めたフレームワークのこと。米国公認会計士協会や米国会計学会、財務担当経営者協会などが母体のため、米国の会計業界ではCOSO内部統制フレームワークが標準的な役割を担っている。

米IBM のバイス・プレジデント ナンシー・ピアソン氏

 COSOは(企業における)内部統制管理のための包括的なフレームワークであり、HPのようなIT企業が展開するサービスや製品に実装するには少々大き過ぎる。米国には、経営者やITプロフェッショナル、あるいは内部・外部監査者が使用するためのIT管理フレームワークがあり、通称COBITと呼ばれている。COBITとは、Control Objectives for Information and related Technologyの略で、ITガバナンス協会と情報システムコントロール協会が共同で発表している。ITガバナンス協会は、COBITフレームワークをCOSO内部要素にマッピングすることで、企業のSOX法対応プログラム全体と適合するとしている。

 他方、ITサービスの運用・管理フレームワークには英国商務局がまとめたITIL (Information Technology Infrastructure Library)があり、多くのITベンダがITILに準拠した独自の運用・管理フレームワークを作成している。例えば、HPには「HP ITSM(ITサービスマネジメント)参照モデル」、IBMには「IBM Tivoli Unified Process」(ITUP)という独自のプロセスフレームワークがある。これらのフレームワークに自社製品をマッピングさせ、さらに、導入や運用のための具体的なコンサルティングノウハウを追加して商品化しているのが特徴。

 IBMは特に、ITUPを活用したITインフラ運用管理手法「IBM IT サービス・マネジメント・ソリューション」を8月末に発表、「最も包括的な製品ポートフォリオを提供できるのはIBMだけだ」と米IBM のバイス・プレジデント ナンシー・ピアソン(Nancy Pearson)氏はこの分野に自信をみせる。HPでは、「HP ITSM参照モデル」を標準的なIT管理フレームワークCOBITへマッピングし、SOX法対応→COSO準拠→COBIT準拠→ITIL準拠という一気通関のシナリオを作成している。

(@IT 谷古宇浩司)

[関連リンク]
日本ヒューレット・パッカードの発表資料

[関連記事]
「そもそも日本版SOX法って?」、SAPがセミナー開催に好感触 (@ITNews)
狙いは日本版SOX法、ドキュメンタムが製品を整備 (@ITNews)
「日本版SOX法は7カ月以内に対応開始を」、オラクルが強調 (@ITNews)
企業に大激震? 日本版SOX法がやってくる (@ITNews)
ITIL執筆者が語る「ITIL VS 現場のヒーロー」 (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)