内部統制にITILなどの標準化をどう使っていくか：M&A時代のビジネスガバナンス（4）（1/3 ページ）

前回は「ビジネスプロセスマネジメント（BPM）」を説明した。今回は、内部統制における「標準化」の活用方法について解説する。

[木田 律子，サン・マイクロシステムズ株式会社]

内部統制構築におけるIT管理プロセス整備の重要性

　内部統制の構築におけるプロセスの可視化を検討する場合、業務プロセスに焦点が当てられていることが多い。

　しかし、昨今の業務はITと切り離して考えることは難しく、業務はITの基盤の上にあるといえる。いくら業務プロセスで違法な改ざんやヒューマンエラーのリスク回避を図るためのコントロールを導入しても、その基盤となるITにおいて、悪意のある何者かがプログラムを勝手に差し替えたり、データベースにアクセスしてデータを削除するなどの改ざんができるとしたらどうだろうか。

　このリスクを軽減するためには、特に変更管理に重点を置いた、しっかりとしたIT管理プロセスの整備が重要である。

　内部統制を整備するうえで「標準化」が重要であることは、本連載の第1回「米国のSOX法対応で失敗した経験を生かすには」で述べられている。IT管理プロセスを整備するうえでも、この「標準化」は必須だ。

　企業にとって、ユニークなビジネスモデルを構築することは、競争社会を生き残るためには重要だろう。しかし、IT管理のフレームワークに独自性は要らない。企業の業種／業態が違えども、そのIT管理プロセスのフレームワークは共通しているべきであり、信頼性と安定性重視でその構築に取り組むべきである。そのためには業界標準を採用するのが、効果的かつ効率的だ。

業界標準／規格を活用しよう

　IT管理プロセスは提供するITサービスが信頼できるものであることを保証するとともに、ビジネスモデルの変化や、M&AによるITの統合などに俊敏かつ柔軟に対応できるものでなければならない。

　そのような要求を満たすIT管理プロセスの整備に利用できる業界標準や規格には、「COBIT」「ITIL」「ISO/IEC 27001（セキュリティ管理）」「ISO/IEC 20000（ITサービス管理）」などがある。これらの業界標準や規格を採用し、IT管理プロセスの標準化を図る意義をまとめると次のようになる。

信頼性

誰かが考え出したものではなく、どこかでうまくいった事例を基にまとめられたベストプラクティスである。

網羅性

IT管理プロセスが対象とする範囲が網羅されているため、あるべき全体像を把握することができる。あるべき姿と現状とのギャップを確認し、改善が必要な項目に優先度を付けて取り組むことができる。こうして、「全体最適化」の視点を取り入れることが可能になる。

経済性

これらの業界標準や規格の基準定義を利用することは、市販本を購入するだけで、誰でも無料で使用できる。

グローバルスタンダード

IT管理プロセスの整備を進めるうえでの「共通語」となる。これはIT管理プロセスを全社展開または海外展開するとき、もしくは、ベンダからサービスを購入するときに意思疎通を図るうえで重要である。

また、昨今頻繁に見られるM&AによるITの統合が必要となったとき、統合対象となるIT管理プロセスがグローバルスタンダードにのっとって構築されていれば、統合作業はスムーズに進ちょくするであろう。

利便性

一般書籍、外部トレーニングや認定試験の利用が可能である。また、外部ベンダから各種提供されているコンサルティングサービスの利用もできる。

　筆者が所属するサン・マイクロシステムズでは、IT管理プロセスの構築において、全体としての「What」をCOBITを使用して網羅し、「How」としてITIL、CMM、ISO 17799（セキュリティ管理）などを利用している。

図1：SunのITにおける標準／規格の適用状況

• What：何をコントロール対象とするかをCOBITで網羅
• How：どのようにコントロールするかにITIL、CMM、Prince2などを利用
• 全体のプロセスデザインにはSun Sigma（Six Sigma）を活用
• 運用開始時にChange Management／変更管理を徹底