概要
内部統制の強化という観点から、企業の活動をその仕組みとして支えるIT運用のあり方が今、注目されています。そこで、「IT運用の内部統制」/J-SOX適用と題して、J-SOXへの対応を契機とするIT運用プロセスの改善活動(ひとつのモデル)を紹介します。
ITはビジネスの重要な局面で利活用され、今や、企業経営の遂行に不可欠な存在として認識されています。そして、このITの利活用を支えているIT運用のマネジメントの在り方が今、経営のテーマとして注目されています。日常のIT運用におけるガバナンスの巧拙は内部統制全体の有効性に影響を与えます。企業の健全な活動を支えるために、安全なIT環境を準備し、適正なITの運営管理を行うことが、今まさに期待されています。だが、この期待はIT運用にとって今、新たに追加された期待ということではありません。これは本来、IT運用のマネジメントに求められている内部統制機能そのものなのではないかと思います。今日的な市場/社会からの要請である金融商品取引法(以降、J-SOXと言います)への対応は避けられないものではありますが、内部統制機能はIT運用が本来、取り組んできた課題であり、これからも継続して取り組むべき課題なのです。したがって、J-SOXは自部門のマネジメントを強化するための一つのきっかけとして、利用するくらいの意識をもつほうが健康的です。J-SOXは、法律だから(法令遵守)とか、どちらかというと受け身的/押し付け的な対応になりがちなので、ことさらにIT運用の最適化やガバナンスの強化とか、自らのリーダーシップを発揮すべく、能動的な対応が求められます。とかく守りに入りがちな傾向のあるIT運用部門にとっては、攻めの対応がとれる絶好の機会でもあります。
IT運用部門はIT部門の中でも比較的に多くの定型業務を抱えるセクションと言えます。そのために、メインフレームを中心とする時代には、厳格に標準化された運用のプロセスを確立していました。そして今、IT運用はオープン系のシステムを中心とした形態に変化しています。1990年代から変化を始めたITのオープン化の流れは、メインフレームの時代に標準化し確立してきた運用プロセス、内部統制の仕組みを形骸化させたと言われています。ITの変化によって形骸化してしまった仕組みを今一度、最適化する方法を考えましょう。ITの変化に応じて内部統制の仕組みも変化させる、継続的なマネジメントシステムも必要ですね。そして、常に、経営の要請に応えられるIT運用であって欲しいと思います。
そのためにまず、自部門のマネジメントの現状を把握し内部統制の成熟度を自己評価してみることにします。本当は、自分のことは自分が一番よく知っている筈なのです。多くのIT運用を担う人は当事者として”何をすればよいか”、”何をなすべきか”は、常日頃の業務を遂行する中で”何をしたい”ということでわかっているものです。重要なことは、この”何をしたい”を実行するために、その必要を理解して欲しい人たち(経営者、利活用者等)に説明すること。そしてその必要を共有する積極的な協力者になって頂くことです。また、一緒に活動するメンバーがこのプロセスを通じてお互いの役割や実施する改善のレベル、目標などの合意を形成しておくことも大切です。このステップは、以後の活動の生産性向上(プロセス)と、目標の達成(結果)に対して有効に作用します。次に一つのモデルとして作成する「成熟度レベル診断表」を紹介します。これは上述の理由から、自分を知ることを主の目的とするものではありません。その意味では、お互いに自らを再認識し合う程度でしょうか。寧ろ、「経営者および情報システムの利活用者」と「IT部門の仲間内」を対象にしたマーケティングを意識しています。それは、IT運用がリーダーシップを発揮して、マネジメントと内部統制の質的な改善を継続的に取り組むために、活動しやすい環境を整えること。これを目的としています。(経営から受ける信頼の度合いを補填する必要がある場合は、客観的な自己評価を目的とする外部コンサルタントの活用も有効なステップかと思います。)
1. 成熟度レベル診断表の作成
現状を再確認し、自らのマネジメントレベルを評定するために作成する診断表のフォーマットと内容を説明します。これは担当する個人の評価ではなくIT部門全体の合意として確定させます。
(1) 点検項目
IT運用のマネジメントにおける点検項目を網羅的に抽出し整理し、明示します。(この点検項目は、米国の企業改革法の実施基準であるPCAOBを参考にしています。)
①プログラム開発
システム開発・システム導入から運用移行までの手順と文書化
システム開発・システム導入計画の作成手順と承認の手続き
システム開発・システム導入、実施プロセスのモニタリング
テストの計画と実施の記録および検収の手続き
本番移行計画と移行結果のモニタリング
②プログラム変更
標準のシステム変更手続きと運用の仕組み
システムの変更要求に対する承認の手続き
システム変更後のテストと検収の手続き
本番環境の安全確保の手段(テスト環境との分離など)
本番環境へのプログラム登録と運用開始の承認手続き
同上、要員の限定と登録結果のモニタリング
システム環境設定の変更手順と承認手続き
緊急対応のシステム変更手順と承認手続き
③コンピュータ運用
運用スケジュールの作成と承認の手続き
運用実施と管理の仕組みとサービスのレベル
臨時オペレーションの実施と承認の手続き
運用の記録と結果のモニタリング
データおよびプログラムのバックアップの取得
バックアップからのリカバリ方法と定期的な訓練
運行監視の仕組みと事故および障害を発見する手段
事故および障害の記録から解決するまでの手続き
事故および障害の発生および措置経過の伝達、報告のルールと手続き
データに対する直接修正の承認手続き
④プログラム/データへのアクセス
情報セキュリティの方針および規程の制定と周知の仕組み
情報資源の管理と保全の仕組み(リスク対策)
情報資源およびIT運用施設への物理的なアクセスの制限手段
業務分掌と整合するアクセス権限の定義とシステムへの内部設定
利用者IDとアクセス権限の申請と登録および変更の手続き
利用者IDの識別と認証の仕組み
不審者のシステム侵入を防止するための対策と実施の状況
パスワードの漏洩を防止するための対策と実施の状況
情報資源への不正なアクセスを監視する手段と実施の状況
IT要員の適切(相互の牽制が機能する)な職務分離の体制と実施の状況
特権IDの管理の仕組みと運用の監視/システム環境
同上/適用業務システム
(2) 点検の視点
次に説明する「(3)COBITのマネジメントプロセス」に対応する成熟度レベルを記入する際の導線として、明記しています。上記(1)の「点検項目」に対する評価の区分を示しており、成熟度レベルを測定する測る際の視点を示しています。(1)点検項目と(2)点検の視点の該当する交差個所にマーキングをします。
① 対応する業務を担う組織および的確な職務の分掌の存在と実行
② 文書化された業務の基準および順守規程等の制定、周知と実行
③ 業務プロセスの標準化と運用および自動化のレベル
④ プロセスのモニタリング(プロセスの安全確保)
⑤ 結果のモニタリング(結果の保証)
⑥ マネジメントサイクル(Plan・Do・Check・Action)の循環
(3) COBITのプロセス体系
ITガバナンスの成熟度を測るのに有効なツールとして認識されているISACA(情報システムコントロール協会)のCOBIT4.0、その中核となっている「ITプロセス」を用いて、その成熟度のレベルを自己評価します。COBITはITガバナンスを確立するためのベストプラクテスと言われています。特に経営者の理解と承諾を得るために有効な意思疎通のマネジメントツールとして評価されています。
次の① COBITの「ITプロセス」と上述の(1)点検項目および(2)点検の視点の交差個所に、②成熟度レベルを自己評価の結果として記入します。(ITプロセスおよび成熟度レベルを含むCOBITの詳細はISACAのWeb Site等をご覧ください。日本語版COBIT4.0は当該のWeb Siteより入手できます。)
① COBITの「ITプロセス」
・計画と組織(PO)
/IT戦略計画の策定(PO1)/情報アーキテクチャの定義(PO2)/技術指針の決定(PO3)/ITプロセスと組織およびそのかかわりの定義(PO4)/IT投資の管理(PO5)/マネジメントの意図と指針の周知(PO6)/IT人材の管理(PO7)/品質管理(PO8)/ITリスクの評価と管理(PO9)/プロジェクト管理(PO10)/
・ 調達と導入(AI)
/コンピュータ化対応策の明確化(AI1)/アプリケーションソフトウエアの調達と保守(AI2)/技術インフラストラクチャの調達と保守(AI3)/運用と利用の促進(AI4)/IT資源の調達(AI5)/変更管理(AI6)/ソリューションおよびその変更の導入と認定(AI7)/
・ サービス提供とサポート(DS)
/サービスレベルの定義と管理(DS1)/サードパーティのサービス管理(DS2)/性能とキャパシティの管理(DS3)/継続的なサービスの保証(DS4)/システムセキュリティの保証(DS5)/費用の補足と配賦(DS6)/利用者の教育と研修(DS7)/サービスデスクとインシデントの管理(DS8)/構成の管理(DS9)/問題の管理(DS10)/データの管理(DS11)/物理的環境の管理(DS12)/オペレーションの管理(DS13)/
・ モニタリングと評価(ME)
/IT成果のモニタリングと評価(ME1)/内部統制のモニタリングと評価(ME2)/規制に対するコンプライアンスの保証(ME3)/ITガバナンスの提供/
② 成熟度レベル
レベル0→不在のレベル
レベル1→初期/その場対応のレベル
レベル2→再現性はあるが直感的なレベル
レベル3→定められたプロセスがあるレベル
レベル4→管理され、測定可能なレベル
レベル5→最適化されたレベル
(4)点検項目の評価
点検項目に対応した改善点等を記述します。自己評価した成熟度レベルの補足説明と同時に、後の改善活動のために潜在するリスクなどを書き留めておきます。
(5)IT部門の組織
IT部門の課レベルまでの組織名を記入します。以降の活動を担う組織を明確にするために、IT部門の組織と該当する(3)COBITのマネジメントプロセスと交差する個所に次のマーキングをします。
◎:当該の組織が主として担うプロセス
△:当該の組織が副次的に関連するプロセス
無印:◎△以外
(6)評価点
(3)COBITのマネジメントプロセスと交差する個所に記入された成熟度レベルの平均値を点数として記述します。 (4)点検項目の評価と交差する個所には(IT運用の意思として)重点的な対応(改善)が必要なプロセスを選択し明記します。 必ずしも低評価のプロセスを一様に選ぶものではありません。
2. 診断結果のプレゼン資料の作成
経営者へのプレゼンテーション資料として前述の診断表の(6)評価点を図式化して提示します。
比較できる他社のデータが入手できる場合は他社との比較、目標とするレベルを設定しその目標との比較などを、同時に明示すると効果的かと思います。また前述の診断表の(2)点検の視点から成熟度のレベルを集計し平均を求めて、この視点を軸とするレーダーチャートを作成し提示するのも良いと思います。そして、今後の改善活動のテーマとして選んだプロセス(重点対応プロセス)について、その選択した理由を明記します。
次回は「第2回 内部統制強化のための活動計画を策定する」と題して、当該の作業結果から導き出した「重点対応のマネジメントプロセス」と、策定した改善活動(J-SOX対応)のフレームワークを紹介します。
コメント
投稿にはログインしてください