概要
内部統制の強化という観点から、企業の活動をその仕組みとして支えるIT運用のあり方が今、注目されています。そこで、「IT運用の内部統制」/J-SOX適用と題して、J-SOXへの対応を契機とするIT運用プロセスの改善活動(ひとつのモデル)を紹介します。
前回まで7回にわけて「IT全般統制」の範囲から、IT運用に係わるプロセスを取り上げて、そのプロセスを標準化(再構築/改善)する活動を、ひとつのモデルとして紹介してきました。今回は、いよいよ最終回です。
2008年4月より内部統制報告制度が適用されています。多くの企業においては、内部統制に関わる有効性の評価も2巡目を迎えることになります。そして、継続的(日常的)に行われる「業務プロセス改善」のサイクルを定着させる時期にあろうかと思います。特に今まで、「IT全般統制」に関する監査は、外部の監査法人に依頼していた企業も多かったと思います。内部統制報告制度の適用における課題として、この「外部に依頼していた監査から、企業内部への監査に移行する」ことがあげられます。内部統制報告制度を適用する初年度には、内部監査部門に対してIT部門がその実施をサポートする(被監査部門が監査部門を支援する)という、変則的な状況もあったように思います。併せて、従来の外部監査を、内部監査と重複して実施するなど、種々の工夫をされた企業もあったように思います。
「経営者が自ら、自社の財務報告に係わる内部統制を評価する」こと。その為には、経営者に、IT部門の業務プロセスを理解して頂く必要があります。多くの企業においては、「IT部門の業務プロセスはITの知識や経験が必要・・」として、クローズされていた面があったと思います。これは、IT部門にとって今まで、言葉は悪いが、「説明が面倒・・」、「あえて説明する理由もない・・」等々、と言う事だったのでしょう。今後、IT部門の業務プロセス(「IT全般統制」に係わる業務エリア)も特別な存在では済みません。IT部門の業務プロセスにおいても、経営者が理解できるように、説明する努力が必要となるでしょう。寧ろ、積極的な努力(説明責任を果たすこと)が今、求められているのだろうと思います。そして、監査部門のみならず、被監査部門の利益のために、「内部監査部門に対してIT部門がその実施をサポートする(被監査部門が監査部門を支援する)」とか、「内部監査が終わった後に又、外部監査を実施する」などの不効率な状態から、いち早く脱却することです。
本来、「IT全般統制」は「IT業務処理統制」の”間接的な統制”という関係にあります。「IT全般統制」は、「IT業務処理統制」のバックグランドとして、その運用を継続的に支援するものです。したがって「IT全般統制」の監査で「不備」とされた有効性の評価は、「IT業務処理統制」の監査において指摘される「信頼性を損なう事柄」に該当します。また、「IT全般統制」の監査で「重要な欠陥」とされた有効性の評価は、「IT業務処理統制」との関係の中で、その”重要な欠陥”と指摘された事柄を、検証することになります。たとえば、「アクセス権限を更新するプロセス( 第5回 重点対応プロセスの参照モデル 《 その1:アクセス管理プロセス 》を参照 )の脆弱性により、会計情報が改竄される恐れがある」と、いうような場合は、財務報告の虚偽記載の検証の結果、その事実がなくても、IT業務統制の有効性の評価は「不備」となります。IT全般統制の有効性の評価は、「重要な欠陥」とされるかも知れません。「不備」の評価でも、その状態が放置されている場合は、確実に、「重要な欠陥」になろうかと思います。(放置する人はいないと思いますが・・)
当該のシリーズ(「IT運用の内部統制」/J-SOX適用)として、今まで記述してきたモデルは、あくまでも”ひとつのモデル”です。当然ながら、「IT運用の業務プロセス」は、各企業の置かれた環境によって、その在り様が異なる筈です。したがって各々、個別に存在する企業の経営環境に適合した業務プロセスを構築すべきことは、これもまた然りです。当該のモデルを、その一助として利用頂ければ”嬉しいこと限りなし”です。
前回までの流れからすると今回は、「DS13 オペレーション管理」プロセスの紹介ということになりますが、最終回ということで、これを割愛(「DS13 オペレーション管理」プロセスも、記述の体裁は他のプロセスと同じです)して、IT運用の管理者が課業として作成していたメモ的な「バランス・スコアカード」を紹介したいと思います。ここで紹介する「バランス・スコアカード」は、IT運用を担う管理者が自らの組織の「年次業務計画」を作成するにあたって、メモ的に作成したものです。「年次業務計画」は、IT運用を含むIT部門全体の標準システムとして存在し、機能しているものです。このメモ書き的「バランス・スコアカード」は、この「年次業務計画」の”説得力を高める”ツールとして作成していたものです。
《 当該の活動のバックグランドとなるバランス・スコアカード 》
バランス・スコアカードは、戦略志向の経営ナビゲーションシステムと言われています。それは、一元化された戦略の立案と実行を支援するフレームワークでもあります。企業や組織のビジョンと戦略の実現を、次の4つの視点で明確にし、計画し管理します。(4つの視点でなければならないと言うことではないようです。「環境保全の視点」などを追加して5つの視点とした事例も報告されています)
① 財務の視点・・・・・・・・・・・・・> 最適化された運用コスト
② 市場・顧客の視点・・・・・・・・・・> システム利活用者の満足
③ ビジネス(業務)プロセスの視点・・・> 標準化された業務と管理プロセス
④ 人材と変革の視点・・・・・・・・・・> 仕事への高い意識(POTENTIAL)
上図、《当該の活動のバックグランドとなるバランス・スコアカード》は、この4つの視点から、そのビジョンと戦略を描いています。左側の縦軸にビジョンを、右の横軸に戦略を配置しています。特に、当該のバランス・スコアカードのように、課業として単独で作成する場合は、予め自らの組織が担う「ミッション」を的確に判断しておく必要があります。ビジョンとミッションの整合性が前提になります。自分の担う組織の状況によっては、ビジョンということではなく、ミッションから戦略を策定することも”有”かと、思います。
《 ビジョンから戦略策定までの流れ 》
上図は、ミッションの確認/ビジョンの設定から戦略を策定していく手順の概念図です。
手順は次のとおりです。
《 ①ミッションの確認 》 ⇒ 《②ビジョンの設定 》 ⇒《 ③SWOT分析 》 ⇒ 《 ④資源の分析 》 ⇒ 《 ④環境の分析 》 ⇒ 《 ⑥重要成功要因の抽出 》 ⇒ 《 ⑦戦略の策定 》 ⇒ 《 ⑧指標の設定 》
まず、ミッションを確認し、ビジョンを設定します。そして、自組織がもつ資源の特質と自組織を取り巻く環境の特質を抽出し整理します。資源と環境の特質を整理し分析する手段として、SWOT分析を行います。SWOT分析は、これらの特質を「組織の強み(Strength)、弱み(Weakness)、機会(Opportunity)、脅威(Threat)の四つに分類し、上図のようなマトリックス表に整理します。組織の現状を分析するツールとして用います。そして、組織の現状分析の結果として「重要成功要因」を導き出し、上述の4つ視点から、戦略を策定していきます。重要成功要因とは、戦略を実現するために必要不可欠な要因を示すものです。戦略とは、「自組織のあるべき姿を、どのように達成するか」を示すものです。そして、策定した戦略の実行をモニタリングし、コントロールするために、その戦略に対応した指標(業績評価指標)と数値目標を設定します。
※ 当該の手順は私なりの手順で、世の中で確立されたものでもなく、こうでなければならないと言うものでも有りません。要は、己を知り、何を基準にして、どのように進むべきか、これを見定める。そのための”簡便な道具”として使用しているものです。
次に上図の《当該の活動のバックグランドとなるバランス・スコアカード》の戦略マップに対応した《業績評価指標&数値目標》のモデルを記述します。
《 業績評価指標&数値目標 》
添付(ビジネスプロセスの視点>先行指標/KPI>重点対応プロセスの成果指標)
※ 以下は添付の内容です
変更管理
(1) 変更が引き起こすインシデントの発生件数と、回復に費やした時間(影響度レベル別)
(2) 同上、再処理(運用)件数と時間
(3) システム利用者の満足度レベル
アクセス管理
(1) 権限プロファイル設定の要件を満たさないシステムの数
(2) アカウントの実査(実地棚卸)の結果、検出された差異件数
(3) 不正の予兆を検知したアクセスの件数
(4) 「影響度レベル=大」の不正アクセス(セキュリティインシデント)の件数
問題管理(インシデント管理を含む)
(1) インシデントの件数と、回避あるいは回復に費やした時間
(2) IT運用のロス時間(再処理に要した時間、停止した時間)
(3) 問題解決(恒久対策)によってクローズしたインシデントの件数
(4) 変更要求件数と未処理の件数
(5) 未解決の問題件数
(6) サービスレベルオブジェクトの達成率
オペレーション管理
(1) 運用のインシデントに起因する運用スケジュールの遅延時間
(2) 同上、運用サービス停止時間
(3) サービスレベルオブジェクトの達成率
バランス・スコアカードは、「過去」と「現在」と「未来」を繋ぐ意思決定ツールと言われています。定義した戦略を実現するために、自組織とこれを取り巻く環境の特質に応じた、最も重要な成功要因を明示し、将来に向けた行動計画策定します。そして、その実現に向かって努力する過程をモニタリングし、コントロールします。モニタリングしコントロールする実体(実態)は常に「現在」です。
上表の《業績評価指標&数値目標》は、上図の《当該の活動のバックグランドとなるバランス・スコアカード》に対応して設定した、コントロールすべきモニタリング項目(業績評価指標)と数値目標です。お気付きかと思いますが、ビジネス(業務)プロセスの視点では、前回まで述べてきた「重点対応プロセス」の「成果指標」が定義されています。したがって、このモニタリング項目(業績評価指標)と数値目標は、前回まで述べてきた「重点対応プロセス」の「コントロール目標」に対応しています。
業績評価指標と数値目標は、実行計画の実施結果として測定されるKGI(キー・ゴール・インディケーター)と、実施中の活動プロセスで測定されるKPI(キー・パフォーマンス・インディケーター)で構成されています。KGIは「結果指標」、KPIは「先行指標」と言われたりします。KPIは日常の活動をモニタリングしコントロールするうえで、重要な指標です。経営者は、活動の成果を示すKGIに、より多くの関心を示すことでしょう。
これらの指標は、内部監査人および外部監査人に提供するデータとしても活用できます。この「バランス・スコアカード」は、内部統制の3点セット(作成するドキュメント)と言われているドキュメントのひとつである「RCM(リスクコントロールマトリックス)表」と連係させることができます。むしろ、連係させることによって、より有効な活用が期待できると思います。まず、経営者の理解を得るために有効な方法です。そして、自組織の活動がそのまま、監査人をアシストするツールとして、利用できます。ITの知識や経験が必要と思われるIT部門の業務プロセスとその管理状況を、より平易な様式(マネジメントが理解できる様式)でオープンにします。なによりも、このデータは「組織が、自らの組織を運営するために、定常的に作成したデータ」なのです(監査に対応して作成するデータではありません)。監査人は、このデータ(組織が日常的に作成し、管理しているデータ)を活用することによって、監査の効率を高めることが可能です。効率性のアップによって得られる利益は、部監査部門および外部の監査法人に提供するだけではありません。被監査部門であるIT運用部門が自ら、享受する利益でもあります。
導入から2年目を迎えた内部統制報告制度。2008年度における監査法人の決算は、増収減益が目だって多かったように思います。減益の主因は、内部統制報告制度への対応によって増加した「人件費の負担」と言われています。監査効率のアップは、外部監査においても重要な課題となっているように思います。
これらの課題を解決するためにも、内部監査人のレベルアップと監査効率のアップが必須の要件ではないかと思います。「外部監査人は、内部監査人が行った作業を利用する」。このような手続きと体制を整えることが肝要かと思います。
今回は、運用管理者の「メモ書き」として「バランス・スコアカード」を紹介しましたが、別に「メモ書き」である必然性はありません。できればIT部門全体、本社スタッフ部門、事業部、全社のツールとして活用できればベストです。また、「全般統制」の部分に限定する必然性もありません。内部統制全体のフレームワークとして活用することも有効かと思います。
筆者は、IT運用のパフォーマンスを向上させるためには、「自らを評価する機能の強化」と「経営者層やシステム利用部門に対するマーケティング機能」が必要と考えています。
左図はバランス・スコアカードというフレームワークを利用する、その概念図です。第1回から第7回にわたって紹介したプロセスモデルは、当該のバランス・スコアカードで策定したビジョンを「実践するモデル」の紹介でもありました。これらのビジョンを「実践するモデル」は、実際の業務プロセスとして実装し、評価されたモデルでもありました。しかしながら、最終回のこの「IT運用管理者が作成したメモ書き的な、バランス・スコアカード」は、他から評価されたことのないモデルです。最後まで、おつきあい頂いた読者の皆様に、(自らの確信とは別に・・)その評価(実用性・有効性等々)を委ねることをお許しください。「書き込み活かす」などを通じて、ご意見等を頂戴できれば幸いです。
(では、またの機会を)
コメント
投稿にはログインしてください