SOX法対応を始めとする内部統制の強化では、業務処理とアプリケーションに対する統制に加えて、それを支えるIT基盤への統制が求められます。業務処理の一貫性と妥当性を保証し、データの正確性を証明する。それには前提として、ITそのものが適正であることが求められるという考え方です。
たとえば、業務処理統制では、販売や調達など財務の源流となるあらゆる業務プロセスで、データが適正に処理されたことを担保する証跡を記録します。いつ、誰がデータを登録し、誰の承認を得たのか。データ処理の過程をデータとして保管するわけです。ここで前提となるのは、ユーザーIDが正しく配付され、システム上において厳密に認証処理されていることです。IDの管理がずさんで担当者を一意に特定できないとか、なりすましや野放図な代行が発生しうるという状況では、証跡の信頼性は一気に吹き飛びます。アシスタントがマネジャーのIDを便宜上使用しているといったことも許されません。あくまでも、システム上のIDを通して人物を特定し、データを通して業務処理の様子を再現する必要があります。
言い換えれば、ID管理と認証のしくみとその運用が厳密でなければ、どれだけ業務プロセスを適正化し、内部統制を強化しても、その妥当性を証明することはできない。内部統制強化に向けて、改めて、運用のあり方が問われています。こうした内部統制と運用の関係については随所で指摘され始めていますが、ここでは視点を変えて、内部統制の話からそこで使われているシステム基盤の技術と運用の関係を考えたいと思います。内部統制で重要度が増しているID管理や認証に使われているミドルウエア、いわゆる「システム基盤」の技術です。
今日のシステムではこうしたID管理や認証に関わる機構を、個々のアプリケーションに持つのではなく、すべてのシステムに共通するシステム基盤として備えています。内部統制でも、証跡を記録する機能、情報の利用を監視する機能など、多くの技術が該当します。さらに、ポータルやセキュリティ、レポーティングなどもあります。従来、アプリケーションが個別に作り込んできた機能をシステム基盤として備え、様々なアプリケーションが共通に利用する。ひとつのアプリケーションが動くには、こうしたシステム基盤の機能と個々のアプリケーション機能が密接に連携しなければならないというわけです。販売プロセスの内部統制が問われているとしても、該当するシステムは販売のアプリケーションとは限りません。むしろ、システム基盤が備える機能内容によって、アプリケーションとそれを使用する業務プロセスの品質が決まります。これは、システム基盤を強化することによって、内部統制への対応がある程度可能であることを意味しています。また逆に、アプリケーションが適正であっても、システム基盤やその運用が不十分であれば、システム全体として内部統制の条件は満たせないということでもあります。
個々のアプリケーションに作り込んできた機能をシステム基盤として持つことには、多くの利点と理由があります。ひとつは、システム基盤上に特化して持つことで、より高い品質を満たすこと。もちろん、個々のアプリケーションに備えるよりも効率的で、変化と成長に強いということもあります。実際、システム基盤の機能は一様に、使用する製品技術への依存度が高く、急速に進化していることがあります。特化した技術としてシステム基盤に備え、速やかに成長していくことが重要です。また、複数のアプリケーションが共通に使用することで、アプリケーションの垣根を越えたプロセスを支える基盤となることができます。事業の視点で業務プロセスを描き、システムとして実現するには、アプリケーションの垣根を越えて機能とデータを連携する基盤が必要です。システム基盤に備えた機能や技術は、企業システム全体、そして業務プロセス全体の「統合基盤」でもあります。
このように、システム基盤はすべてのアプリケーションに共通して使われるものであり、運用期間を通して継続的に利用対象が拡大し、技術が進化していくものです。それだけに、運用への依存度がきわめて高いと言えます。どの製品技術を使用し、いかに使いこなすのか。これを検討するのは、運用担当者の役割でもあります。一般に、システム基盤の選択は開発担当者の役割とすることが多く、初期導入後にも、その使いこなしは開発担当者に任していることが多いようです。しかしその結果、システム基盤の技術を必ずしも使いこなしていないとか、開発プロジェクトごとに使い方に違う、あるいは、システム基盤そのものを成長できていないといった実態も見られます。
実際、システム基盤には多くの運用向け機能が備えられています。信頼性確保に不可欠なセキュリティや障害対策の技術も急成長しています。運用担当者が主体的にシステム基盤と関わることで、企業システム全体の品質は大きく向上する可能性があります。また一方では、こうしたシステム基盤を使うことで、アプリケーションの動作構造が複雑化し、障害時の発生箇所と原因を特定するのに時間を要しているといった問題もあります。システム基盤のソフトウェアによって、リソースやパフォーマンスに負荷が生じるといったこともあります。システム基盤の存在を前提とした障害対策やリソース確保、そして、パフォーマンスの管理が不可欠です。
それには、運用担当者自身がシステム基盤の技術を理解し、使用する製品や技術の特性を把握することが重要です。SOAへの取り組みによって、システム基盤の役割はますます大きくなります。システム基盤とその製品技術を攻略することは、もはや急務と言ってよいでしょう。システム基盤技術の多くがアプリケーション・サーバー上とその周辺にあることから、まずは、アプリケーション・サーバー技術に注目するといったことも有効です。また、システム基盤の技術構成を確認するために、自社内で検証サーバーを持ち、サンプル開発をおこなっている企業もあります。システム基盤を使いこなすことは、運用担当者の役割であると共に、これからの企業システムの重点課題です。
連載一覧
筆者紹介
札幌スパークル株式会社
システムコーデイネータ
システム・コンサルタントとして、グランドデザインやプロジェクト・プラン策定、IT部門の組織づくりなどに取り組んでいる。パッケージやワークフロー、ASPサービスなどを組み合わせたソリューションで多数の実績を持ち、ユーザーとベンダーの双方に対するコンサルティングを提供している。「SAP完全解説」監修に加え、「日経コンピュータ」「ソリューションIT」を始めとする媒体各誌にレギュラー執筆。
コメント
投稿にはログインしてください