日本版SOX法、いわゆる金融商品取引法(以降J-SOX)に対応した業務への変革が求められています。 3月決算の企業の場合、来年、つまり2008年4月から金融商品取引法が求めている内部統制を実現し、2009年3月末の時点で内部統制報告書などを作成することになります。 今回は、内部統制とIT統制に関するおさらいと、ITILの活用について記載します。
内部統制の仕組み
内部統制の目的とは、本来、業務改善や可視化を実現するためにあります。また、業務の属人化によるリスクを防ぎ、業務の標準化や効率化を図ることがその本質といえます。
内部統制という言葉の響きや対応作業の工数の多さから、後ろ向きなイメージですが、「本来なされているべきもの」として捉え、この機会に整備していくことが必要です。
図1の解説として、内部統制とは、業務プロセスにおいて、計画されたことが実行され、それを評価し、次回の改善活動につなげていく、いわゆるPDCAサイクルを実行することです。そして、活動を外部(会計監査人や、報告書として)に説明し、正当性を証明することがJ-SOXによって求められています。
また、内部統制には2つの視点があります。ひとつは、実際の作業の結果や記録をとる証跡管理。もうひとつは、業務を遂行するに当たっての各種ルールや規程、職務分掌などの整備になります。
各種ルールの整備においては、ドキュメント化が必要なのはいうまでもなく、内部統制で必要とされる、いわゆる文書化三点セット(業務記述書、業務フローチャート、リスクコントロールマトリックス)の作成も必要になります。
これらを実施することにより、「合理的な保証」を得ることが可能になるのです。
IT統制 IT全般統制と業務処理統制
J-SOXにおいては、4つの統制分野への対応が求められます。(図1-2)
全社的な統制である「全般統制」、業務プロセスに関する統制である「業務プロセス統制」があります。 ITに関する統制とてしては、IT基盤を支える業務を統制する「IT全般統制」と、ITを利用した業務プロセスの遂行における統制である「IT業務処理統制」となります。
IT全般統制は、ITを活用した業務を円滑に推進するためにIT基盤を支える、ITの企画から開発、構築から運用・保守サービスにいたる活動を指します。
IT業務処理統制についてはITを利用して業務を推進する際の統制をさします。ITを利用した業務プロセスにおける統制がどのように機能しているかを、文書化三点セットなどにより明確化することになります。 IT業務処理統制の活動をIT全般統制によって担保する形になり、ITシステム運用の領域においては、このIT全般統制と大きくかかわってきます。
事実上のガイドラインである、経済産業省の「システム管理基準 追補版 (財務報告に係るIT統制ガイダンス)」はIT全般統制における統制活動として以下の4つの項目への対応を求めています。
- ITの開発・保守
- システム運用・管理
- システムの安全性確保
- 外部委託契約の管理
IT統制 フレームワークの利用
IT全般統制における統制においては、実施基準やガイドラインで、「なすべきこと」については記載されていますが、「どのようにして」というHowの部分については記載されていません。
自社内で明確に「どのようにして」の活動指針が明確であれば問題ないのですが、外部監査を受ける際の基準と合致しているかどうかや、我流であるがゆえに説明に時間を要するといったことも考えられます。
ここで考えられる対応手段として、各種フレームワークの活用になります。
フレームワークの活用は義務付けられているわけではありません。しかしながら、フレームワークやそれを第三者が認証するISO規格などを活用することは、外部へのアピールであると同時に、監査する側と受ける側の考え方を共通化することによるコミュニケーション面でもメリットも得られます。
一般的なフレームワーク利用の手順としては、まずは内部統制全体の評価機軸(What)として、COSOを利用します。加えて、IT統制における評価はCOBITを活用します。評価基準については、成熟度モデルを活用することにより、COBITの確度メインのコントロール目標への「成熟度レベル」を測定し、対応範囲を検討します。
IT全般統制における実際の活動については、各項目ごとに以下のフレームワークの利用を検討することをお勧めしています。
- ITの開発・保守
- システム運用・管理
- システムの安全性確保
- 外部委託契約の管理
- ⇒CMM、ITIL/ISO20000
- ⇒ITIL/ISO20000
- ⇒ISMS/ISO27001
- ⇒ISMS/ISO27001、ITIL/ISO20000
IT統制のフレームワークとITIL
本連載の本論であるITILとIT統制の関連についてお話しすると、評価機軸COSOとCOBITは米国のもので、実施のフレームワークであるITILは英国が発祥の地です。よってそのキーワードに若干の差異が見受けられますが、項目については類似しています。弊社で作成したCOSO/COBITとITILの関連図は以下の通りです。(図3-1)
COSOとCOBITで求めているIT統制におけるコントロール目標をITILにあてはめると、図3-2になります。ITILの各プロセスの考え方が、内部統制におけるIT全般統制を実現するために役立つことがお分かりいただけるかと思います。
IT全般統制の要、変更管理
IT全般統制の実現に向けてはITILの活用が有効であることはお分かりいただけたかと思います。
今後、ITILの各プロセスの活用による、ITサービスプロセスの整備はIT全般統制にかかわらず、必要になってきます。
特にIT全般統制においては、「変更管理」のプロセスが実現できていれば、6割程度の対応ができたことになるとも言われています。
どのお客様においても、何かしらの「変更管理」プロセスは存在しているかと思います。しかしながら、そのプロセスの正確性や精度、承認ルートや職務分掌、証跡が残っていない、といった課題はあるのではないでしょうか。
これらの課題を解決し、IT全般統制を実現するための、「変更管理」についてご紹介いたします。
連載一覧
筆者紹介
運用コンサルテイングチーム 藤原達哉
コメント
投稿にはログインしてください