IT運用サービスの導入プロセス

IT統制の良否はその成果が現れるIT 運用サービスプロセスで評価されることになります。

このIT 運用サービスの分野に適用する標準の手引書はITIL(IT Infrastructure Library)がありました。

このITILを活用して、IT統制のための整備手順を解説しましょう。
IT運用サービスには問い合わせやインシデント(問題発生)へ対処する「サービスデスク分野」、この問い合わせやインシデント(事故)を日常的に対処する「サービスサポート分野」、このサービスサポート分野を中長期的に改善していく「サービスデリバリー分野」がありました。

IT内部統制では業務プロセスの統制度合いを見ていくわけですから、その実施優先順位は現場との接触が近い順になりますので、「サービスデスク分野」、「サービスサポート分野」、「サービスデリバリー分野」の順です。それぞれの分野の留意点を
述べておきましょう。

(1)「サービスデスク分野」:問題が発生した場合の対応部署が無ければ統制は不可能ですから、最初に整備すべき運用機能です。

このサービスデスクのサービス基準としてSLA(Service Level Agreement)の契約を交わし、目標を設定することです。

問題の的確な判別も目標があって初めて可能となり、統制も可能になるからです。

(2)「サービスサポート分野」:サービスデスクを通してエンドユーザーから受けた問題を日々その都度対処(リアクティブ)するための日常の運用サービスとしてPDCAをまわしていく「サービスサポート」を整備することです。

このサービスサポートの管理業務の中も優先順位があります。現場への関係度が高い順に、「インシデント管理」、「問題管理」、「変更管理」が第1ステップ。

第2ステップで[リリース管理]、最後に「構成管理」の順になります。

(3)「サービスデリバリー分野」:サービスデスクやサービスサポートを中長期の安定的な統制のために、中長期的にPDCAを回して運用の改善していく(プロアクティブ)対処となる「サービスデリバリー」を整備していくことになります。

この中の業務の優先順位も現場絵の関係度が高い順番です。最初に「サービスレベル管理」、「キャパシティ管理」、次に「可用性管理」、最後に「ITサービス財務管理」、「ITサービス継続性管理」になります。

IT内部統制のプロジェクトは全社体制のプロジェクトになります。

経理・財務部門とIT部門を中心に外部監査法人、内部監査部門、そして対象教務プロセスを持つ各事業部/部門と各連結子会社を加えた体制となります。

これほどの大きなプロジェクト体制を推進していくには、プロジェクトの進め方に工夫が必要です。

例えば、内部統制方針書や計画書を作成するまでは、経理・財務部門とIT部門を中心の体制で進め、その後の展開フェーズで関係各部門を加えたプロジェクトとして進めるのが賢明です。

25回に亘って述べてきましたIT内部統制の内容は米国の「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」(ITGovernance Institute 2004年翻訳版)を中心にまとめた内容です。

このガイド内容を基本として、各国で内部統制のガイドが作られています。

内部統制の概観を利用するには最も良い資料でしょう。

平成18年11月21日に金融庁から発表された「財務報告に係る内部統制の評価及び監査に関する実施規準」の内部統制の記述内容もほとんどこの資料を基礎としています。

また、平成19年1月19日に、経産省からIT統制に関するガイドラインの試案が出ました。

この両方のガイドラインでIT内部統制の日本版COSOの実施ガイドラインが出来上がることになります。

最後に、IT内部統制の作業は大変だと思われたでしょうが、正当な業務プロセスの仕組みづくりですのでやっていくしかありません。

ただ、2008年4月から全面的に適正なプロセスにすると考える必要はありません。

この分野の権威である牧野二郎先生は“うそをつかない気風、風土作りから始め、5年から10年かけて順次改善して構築していく心構えが必要”と言われています。

今回はここで終わりです。

次回から5-6回をかけて、金融庁発表の「財務報告に係る内部統制の評価及び監査に関する実施規準」をもとに実施基準の要点をまとめ、経産省のIT統制ガイド試案をテーマに取り上げて、最後のまとめとしようと思います。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする