PR

IT部門向けの内部統制コンサルティングサービスの利用が広がっている。全社的なSOX法対応プロジェクトの前に、IT部門が抱える課題を明確にすることが目的だ。サービスを提供するソリューション・プロバイダの視点から,内部統制コンサルティングサービスの具体像を解説する。

図1●SOX法対応への準備を進めるIT部門を対象としたコンサルティングサービス((3)の部分)が立ち上がり始めた[画像のクリックで拡大表示]
図1●SOX法対応への準備を進めるIT部門を対象としたコンサルティングサービス((3)の部分)が立ち上がり始めた

 今年6月、いわゆる日本版SOX法の核となる金融商品取引法が成立し、内部統制報告書の提出が2009年3月期の決算期以降になると決まった。さらに内部統制を整備・評価する際のガイドラインである「実施基準」の公表が秋以降にずれこんだ。

 このため、統制範囲の策定や文書化、評価といった全社的なSOX法対応プロジェクトを支援するサービス((図1の(1)や(2)の部分)は、まだ実需に結び付いていないといわれている。しかも監査法人系コンサルタントや専門コンサルタントと競合してしまうため、苦戦を強いられているソリューションプロバイダは少なくない。

 こうした状況にもかかわらず、SOX法対応商談で着実に実績を伸ばしている分野がある。それがユーザー企業におけるIT部門の内部統制強化を支援するコンサルティングサービスだ(図1の3の部分)。

“正攻法”では攻略できない

 IT部門の内部統制コンサルティングを依頼してくるユーザー企業は2種類ある。「全社的な方針が決まった先進ユーザー企業でIT部門が具体的な統制の実装を求められるケース」と、「全社プロジェクトに先行してIT部門が準備や調査に乗り出すケース」である。

 ソリューションプロバイダにとって狙い目は、特に後者の方だろう。IT部門の内部統制コンサルティングを行うことで、全社プロジェクトにつながるSOX法対応商談まで受注できる可能性が大いに高まるからだ。「しっかりしたIT部門ほど先行して取り組む」(NECの川井俊弥マーケティング本部グループマネージャー)という。

 全社プロジェクトに合わせてSOX法対応商談を進める“正攻法”では、システム案件が立ち上がるのは内部統制の評価作業で不備が発見された後か、対策の翌年以降、つまり2009年以降になってしまう。しかも全社プロジェクトが始まると、「まずユーザー企業は監査に通ることを最優先する」(NECの倉田洋二コンサルティング事業部統括部長)、「法施行までの限られた時間で、内部統制強化と同時に業務改革やシステム刷新を進めるのは困難になる」(野村総合研究所の浦松博介・産業ITマネジメントコンサルティング部グループマネージャー)ため、システム商談どころではなくなる。

 そこで全社プロジェクトが本格化する前段階で、できるだけシステム面の課題を明確にして、商談につながるようにしておくことが重要になる(図2)。全社プロジェクトは1社だけのツールでカバーできない場合も多いから、事前にソリューションプロバイダが連携すれば、より大きな商談の獲得にもつながるだろう。

図2●ソリューションプロバイダのSOX法対応コンサルティング事業における課題[画像のクリックで拡大表示]
図2●ソリューションプロバイダのSOX法対応コンサルティング事業における課題

 国内のSOX法対応商談は金融や通信業界で先行したが、最近は製造業をはじめとして様々な業種にも広がっている。それにつれて、IT部門の内部統制コンサルティングの需要も増え始めた。

 既にKDDIやコマツといった大企業で実績を上げるネットマークスは、「関連会社や海外拠点が多いユーザー企業からの依頼が多くなっている」(内田昌宏セキュリティソリューション事業部副事業部長シニアコンサルタント)という。

 全社的な方針が決まった先進ユーザー企業のIT部門に対しては、具体的な課題を解決する術が求められる。監査部門や経営管理部門が、自社システムの統制レベルを定量的に把握し、会社の方針をシステムに実装できるかを明確にするためである。特にアカウント管理や、データ保護やデータ分析などデータ管理に関する引き合いなどが多い。

次回へ