Sara Gates が Sarbanes-Oxley Compliance Journal にまた寄稿しています。彼女だけでなくこの分野の先駆者が皆、口をすっぱくして言っていること、「SOX を始めとした法令遵守をマイナスに捉えるのではなく、ビジネス機会創出として捉えるべきである」という内容なのですが、その表現は示唆に富んでいます。

Moving Beyond Compliance to Business Value
Today’s Compliance Efforts Are Preparing Companies to Meet Tomorrow’s Business Goals
By Sara Gates
2005-12-19 12:00:00.0 CDT, Sarbanes-Oxley Complinace Journal Feature Article

And in the few short years since the passage of Sarbanes-Oxley, there has been tremendous progress toward that goal, as evidenced by many recent feature articles in this Journal about solutions for compliance challenges

Does that mean we’ll soon be coming to the end of the road when it comes to dealing with compliance?

Hardly.

サーベインズ・オクスレー法が施行されてからここ 2, 3 年の間に、コンプライアンスの課題に対する解決策について、このジャーナルで多くの特集記事が証明してきたように、達成に向けて大変な前進があった。

では、コンプライアンスへの対処を済ませれば、この道の終着に辿り着くのだろうか？

それはほとんどないだろう。

Recasting the Challenge
To see Sarbanes-Oxley compliance not just as a regulatory obligation but also as a business opportunity, companies have to stop viewing it as an isolated issue—one that rears its head only at audit time and that mainly affects Operations and Finance.

単なる法制度上の義務 (必要悪) としてだけでなく、ビジネス機会として見るために、企業は SOX への準拠を個別の問題 (単なる監査期間であって、主に業務管理部門と財務部門のみに影響するもの) として捉えるのをやめるべきだ。

A useful analogy for conveying this view comes from the time back when seat belt use first became mandatory for drivers in many states.

この観点を伝えるための有用な類似例として、多くの州でシートベルトの着用がドライバーの義務と初めてなった時に起こったことが挙げられる。

法律が出来ても、そうしたほうが安全だといことを頭では分かっていながら、皆当時はシートベルトを締めようとせず、高い罰金を課したことに怒っていた状況を、今の SOX にまつわる企業に例えているわけです。

Seizing the Opportunities
There are at least three areas of business opportunity for companies that have a strong, ongoing, sustainable approach to Sarbanes-Oxley compliance: strengthening business relationships by reducing business risk, building better customer relationships by increasing levels of trust, and accelerating revenue growth and profitability through automation-driven business practices

強力で、継続的で、維持可能な SOX 対応へのアプローチをする企業にとって、少なくとも 3 つのビジネス機会がある。(1) ビジネスのリスクを低減することで取引関係を強化し、(2) 信用のレベルを向上することで顧客との関係をより良くでき、(3) 自動化ドリブンのビジネスを実践することで売上と収益の向上を加速できるのだ。

For example, identity-based business processes for compliance with Sarbanes-Oxley can reduce business risk by improving the security of access to information. A company will know, for example, that it is adhering strictly to requirements for segregation of duties by being able to weave in the segregation-of-duties rules into the process of provisioning system access.

例として、SOX 遵守のためのアイデンティティ・ベースのビジネス・プロセスは、情報へのアクセスのセキュリティを改善することで、ビジネス・リスクを軽減できる。例えば、企業はシステムへのアクセス権のプロビジョニング (付与や変更、剥奪) の仕組みに対し職務分掌ルールを織り込むことで、職務分掌の要件を徹底させることができるだろう。

With better control over access to sensitive information, companies will avoid security breaches that are likely to receive widespread media coverage, and they will thus reduce their risk of diminished customer loyalty and trust.

センシティブな情報に対するアクセス権限をより統制することで、企業はメディアによる広範な報道を受けうるセキュリティ上の不祥事を避け、しいては顧客のロイヤルティや信用が低下するリスクを無くすことができる。

Another example of business opportunity is through the increasing levels of trust that are engendered by compliance with Sarbanes-Oxley. When a company on an ongoing basis avoids security breaches and other threats to the integrity of its operations, thus demonstrating to customers and the public at large that it is controlling its level of risk, the result over time is greater trust and confidence in the company on everyone’s part.

ビジネス機会のもう一つの例としては、SOX 遵守による信用レベルの向上を通じて起きる。業務の真正性に関するセキュリティ違反や脅威を継続的に回避できている企業は、リスクのレベルをコントロールでき、それを顧客や広く公にアピールし、結果全てにおいて非常に大きな信用を勝ちうることができる。

Finally, automated identity management capabilities not only make compliance easily sustainable over the long term, they also help drive new growth by facilitating participation in collaborative networks.

最後に、自動化されたアイデンティティ・マネージメントは、単に長期にわたってコンプライアンスを維持することだけではなく、新しい共同型のネットワークへの参加を促すことにもなる。

In consumer-facing environments, the identity management infrastructure gives consumers convenience and one-stop shopping by providing a single view of accounts and extranet single sign on across multiple sites, while at the same time providing global logout and session management for security purposes.

顧客向けの環境では、ID マネージメントの基盤は、アカウントの一つのビューと複数サイト間のシングル・サインオンを実現す ることで、便利なワンストップ・ショッピングを提供する。また一方で、セキュリティの目的で、一時にグローバルなログアウトとセッ ション管理を行える。

In extended-enterprise environments, companies can bring outsourcing partners for everything from IT to HR onto their networks securely and easily. This enables them to enjoy to the fullest the greatest advantages of outsourcing: reducing operational costs and keeping focused on the core business, while at the same time maintaining the security of the networked environment.

企業間の環境では、企業はセキュアにかつ簡単に、アウトソース先のパートナーに IT から人事まで全てひっくるめて持ち出すことができる。これにより企業は、アウトソースによる強みを最大限に享受できる。つまりネットワーク化された環境のセキュリティを維持すると同時に、管理コストを削減し核となるビジネスにフォーカスできるのだ。

坊主が走るくらいクソ忙しいさなかに、なんかほとんど訳してしまいました。。。orz
まあ、英語の勉強の一環と言うことで。

そして結論としては、以下のようにまとめています。

Conclusion: Redefining Compliance as a Source of Business Advantage

結論: コンプライアンスをビジネス・アドバンテージの源として再定義せよ

これとかこんなつまらない煽りに対しては、最近は皆さんちょっと食傷気味ですよね。。。今の流れをそのまま単なる法令順守というものだけでなく、今後は CSR (企業の社会的責任) や、他社との競争力強化、新規ビジネスの創出と非常に大きな枠組みで考えると面白そうですね。日本における内部統制はグローバルで見ると後発かもしれませんが、後発なりのメリットはきっとありますので、頭を使っていきたいものです。

既に SOX があるから、アイデンティティ・マネージメントを導入する企業は国内でも多く見てきておりますが、このようなもっと進んだ机上概念 (って言ったら Sara に失礼だけど) が、いつ私の実体験の中て実証されるときが来るのか楽しみです :-)