東葛人的視点　日経BP社

« 【Watcher】SOX法｢実 | メイン | 【Watcher】大型メインフ »

日本版SOX法で、やはりITILビジネスは大繁盛

［2006年11月17日］

　前回ITPro Watcher版の東葛人的視点に、日本版SOX法商談の本番で浮かれていると、ITサービス会社はえらいことになる、って話を書いた。そこで触れたアウトソーシングにおける内部統制の話を、もう少し別の角度から検討したい。SAS70や18号監査による報告書で済ますのが難しければ、アウトソーシング事業を行うITサービス会社は、別の道を考えなければならないからだ。

　日本版SOX法の「実施基準案」によると、ユーザー企業は自らアウトソーシング先の内部統制を評価するか、アウトソーサーから内部統制の評価結果を記載した報告書を入手する必要がある。ユーザー企業からすると報告書で済ました方が簡単だ。しかし、ITサービス会社が報告書を書いてもらうために監査を受けるのは、物理的にも、コスト的にも現状では非常に難しい。これは前回書いた。

　そもそも米国のSAS70や日本の18号監査は、SOX法とは無関係で信託業務などの監査に利用されてきた。だから非常に重たい監査で、コストもかさむ。しかも日本版SOX法で、ユーザー企業が内部統制を評価しなければいけないアウトソーサーは、ITサービス会社だけではない。むしろ、商品在庫を預かり出庫業務を行っている物流会社の方が、内部統制評価の重要度が高いくらいだ。

　となると、特に会計士が払底し監査法人が対応しきれない18号監査に期待するのは土台無理。SAS70のよる監査も、米国の監査法人がビジネスチャンスとばかりに、大挙して日本版SOX法対応商戦に参入でもしてくれない限り、なかなか難しいだろう。そうすると、やはりユーザー企業に直接、内部統制を評価してもらうほかない。

　当然、ユーザー企業が評価しやすいように、請け負った運用プロセスを“見える化”する必要がある。やはりメジャーどころのITILを導入するのが、一番現実的な形だろう。今ではISO20000という国際標準があるから、その認証を取ることで、ユーザー企業の評価作業の負担を減らすことができるかもしれない。どうやら、ユーザー企業向けだけでなく、ITサービス会社向けにも認証取得支援ビジネスが繁盛しそうだ。

投稿者東葛人 : 17:09