ITIL業務の統制項目

 ITILの構成要素は前の回(148回)で説明していますので、ここではITILのサービスサポート機能の構成要素の業務「構成管理」と「変更管理」を参考に、詳細レベルに展開したITILの記述機能がIT内部統制に如何に係ってくるかを見てみようと思います。

 構成管理はITリソースの構成アイテムを識別、コントロール、維持、検証する管理業務であり、変更管理は全ての構成の変更を効率的かつ迅速に管理する管理業務でした。

 ITILが業務規定やルール作りに合致するのは、実施すべき作業項目と作業内容が記述されているところにあります。

 例えば、構成管理での構成アイテム(CI)ではITインフラとしてのハードウエア、OSやアプリケーションソフト等のソフトウエア、使用部署やバージョン等の構成要素を体系化し、構造化すべきことを詳細実施項目として上げ、CMDB(ConfigurationManagement DB:構成管理データベース)の構築手順を記述しています。

 変更管理では、変更管理の業務手順と必要な体制やデータベースの整備を14個の業務機能概要の下に業務詳細とその実施順序を記述しています。

 このITILの記述に対し、COBITの34のIT プロセスの記述は各プロセスに求められる要求事項とその成熟度レベルが書かれています。

 その記述内容のレベルから、COBITの業務記述プロセスは方針作りに有効であり、ITILの業務記述は具体的な業務規定やルール作りに有効と言われているわけです。

 IT内部統制におけるCOBITとITILの位置づけは、COBITが上位の方針規定や統制のためのIT業務定義であるのに対し、ITILは下位の業務規定と統制の関係にあります。

 COBITやITILはIT業務に係る定義ですので、IT 統制の分野です。

 その中でも「全社レベル統制」と「IT全般統制」をカバーするIT業務の統制となります。

IT統制の全社レベル統制はCOBITのドメインで言えば「企画・計画と組織」と「モニタリング」ドメインのIT業務プロセス、そして「運用と支援」ドメインの一部のIT業務プロセスを統制することでカバーできます。

IT全般統制はCOBITの「調達と開発」と「運用と支援」ドメインのIT業務プロセスを統制することでカバーすることが可能です。

 ITILはIT運用に焦点を当てたIT業務です。このIT業務の定義は、COBITとの関係で捉えますと、COBITの「運用と支援」ドメインのIT業務プロセス、そして「調達と開発」ドメインの1部のIT業務プロセスを詳細定義したものでCOBITの下位構造に位置し、業務規定、ルールの制定、手順書レベルでの統制を可能とします。

 今回はここで終わりです。

次回は業務に組み込まれるプログラムに対する「アプリケーション統制の考慮事項」としてテーマに取り上げます。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする