SOX法で心配、ユーザー環境が内部統制を見えなくする

2005/12/20

 TISとプロティビティジャパンは11月、企業の内部統制構築、評価の支援業務で協業したと発表した。両社が協力して内部統制の現状分析からコンサルティング、導入支援、システム構築支援など内部統制に必要なソリューションを一気通貫で提供する。2008年3月期にも法制化されると見られている、いわゆる日本版SOX法では、企業が契約するコンサルタントの数が足りなくなると懸念されている。両社は協業でリソースを相互に補完する狙いもある。

 協業ではTISがコンサルティングや内部統制の構築支援、運用管理、システム管理などを主に担当。プロティビティが教育とガイダンス、内部統制評価プロセスの企画立案などを提供する。ただ、両社の役割は明確に分かれているのではなく、お互いが補完しあいながらサービスを提供する方針。TISの事業開発室 事業推進統括マネジャー 松浦孝治氏は「TIS、プロティビティのどちらの顧客でもワンストップでサービスを受けられる」と協業のメリットを強調した。

 リスク管理の専門コンサルティングファームであるプロティビティは、SAPジャパンと協業するなど日本版SOX法をにらんで動きを活発化させている(参考記事)。システムインテグレータとの協業はTISが初めて。プロティビティのディレクター 伊藤潤氏は「プロティビティはリスクマネジメントに強みを持ち、TISは金融系の情報システムを開発してきた強みがある。金融は業務プロセスにそもそも内部統制を組み込んでいて、リスクマネジメントに一番近い。TISは内部統制のノウハウを持っている。さまざまなSIerの中でもTISは強力なパートナーになる」と述べた。

 TISがプロティビティに注目したきっかけは、自社の内部統制の整備だという。内部統制サービスを提供するコンサルティングファームを探すうちにプロティビティと出会った。すでにプロティビティの内部統制管理のツールを導入。「プロティビティからTISへのスキルトランスファーも進んでいる」(プロティビティジャパン マネージング ディレクター 豊倉光伺氏)といい、サービスの強化が進む。

 日本企業の内部統制整備で両社が難しいと感じているのはレガシーシステムの対応だ。レガシーシステムでも、独自の内部統制プロセスに組み込まれているケースは多かったが、「日本経済のこの10〜20年の停滞でIT開発のコストが内部統制を含めて削減された。現時点では日本企業の内部統制は相当に弱い可能性がある」(伊藤氏)。

 内部統制が組み込まれていないシステムでは、日本版SOX法などにマニュアルで対応せざるを得ない。初年度はマニュアルで対応しても内部統制はプロセスとして継続的に対応する必要がある。長い目で見るとレガシーシステムではコスト増になる可能性が高いというのがプロティビティ、TISの考えだ。「コンプライアンス要件と業務要件を見ていく必要があるが、レガシーシステムを内部統制に対応したERPパッケージにリプレースした方がコストが低くなるかもしれない」(豊倉氏)

 また、エンドユーザーコンピューティングの進展が内部統制の状況を把握しづらくしている。業務処理が中央の基幹サーバに集中しているシステムでは、その業務プロセスやログを見ることで内部統制をチェックできた。しかし、基幹サーバの運用管理コストを削減する狙いもあり、業務プロセスの多くの部分はエンドユーザー側に移行している。TISの産業第1事業部 エンタープライズソリューション部 主査 岡本昭郎氏は、「エンドユーザーがどのPCで、どのようなMicrosoft Excelのマクロを使っているかも分からない企業が多い」と指摘。伊藤氏は「日本のそういう状況は不安だ」と述べた。

(@IT 垣内郁栄)

[関連リンク]
TISの発表資料(PDF)
プロティビティジャパン
手早く分かる「日本版SOX法ポータル」開設

[関連記事]
「ITは大きく変化」、日本版SOX法基準案を金融庁委員が解説 (@ITNews)
SOX法対応企業が振り返る「本当に勉強させてもらった」 (@ITNews)
日本版SOX法で台風の目 ― プロティビティがSAPと協業 (@ITNews)
2009年の日本版SOX法への対応費用は7000億円 (@ITNews)
「日本版SOX法は7カ月以内に対応開始を」、オラクルが強調 (@ITNews)
企業に大激震? 日本版SOX法がやってくる (@ITNews)

情報をお寄せください:



@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)