内部統制にITILなどの標準化をどう使っていくか：M&A時代のビジネスガバナンス（4）（2/3 ページ）

[木田 律子，サン・マイクロシステムズ株式会社]

運用部門における内部統制とは

　内部統制の中でもIT全般統制において、変更管理をはじめ、最も重要な役割を担うのは運用部門であろう。ここでは少し視点を変えて、内部統制が取れた運用管理とはどういうものか考えてみたい。そのポイントを3つ挙げる。

ポイント1：業務が複数の担当者で連携して実施され、相互チェックされている

例えば、変更を依頼する人、承認する人、実装する人が明確に分かれていて、変更内容、承認の根拠、変更結果が明らかになっており相互にチェックされている。

ポイント2：業務内容が明確であり、人の移動もしくは職務の変更が可能である

例えば、ある人が長期休暇を取っても誰かが代わりを務めることができる。

ポイント3：監査記録として提出できる詳細な業務実施記録が残されている

求められればいつでも、「いつ」「誰が」「何をしたか」を説明できる根拠となる記録が残されている。

　つまり特定の人に業務や権限が集中しないよう属人性を排除することが重要である。それでは、属人性を排除するための課題は何か。次に4つの課題としてまとめてみた。

課題1：プロセスおよび、役割と責任の明確化

　プロセスを定義し、プロセス内のアクティビティをフローチャート化する。役割とその責任を定義し、誰がどの役割にアサインされているかを明確にする。兼任してはいけない役割を明確にする。役割が兼任されている場合、職権の分離が損なわれないかを確認する。

課題2：資産の管理

　IT資産の管理情報を正確に維持する。個々の資産における変更履歴をすべて記録する。

課題3：スキルの向上とナレッジの共有

　運用部門で属人化が進行しやすい理由として、その必要とされるスキルの特殊性がある。例えば変更を依頼する役割と承認する役割に異なる担当者がアサインされていたとしても、承認者がその変更の意味やリスクを理解できないまま承認するのでは意味がない。

　また、インシデント対応では特に経験の差が出やすく、放置すれば特定の人にナレッジが蓄積し、その結果よりその人に集中するという悪循環に陥る。役割に必要なスキルを明確にし、トレーニングを実施してスキルの底上げを図るとともに、ナレッジを共有する仕組みを構築することが重要である。

課題4：運用実績の記録

　運用部門としての説明責任を果たすためにも「誰が」「いつ」「何をしたか」を証明できる記録を残すことが必要である。ツールを活用するなどして、記録を残すことがスタッフの作業負荷増大とならないように考慮する。

ITILの活用方法

　ITILにはこれらの課題を解決するためのヒントが詰まっている。

　内部統制の観点から見ると、日々の運用プロセスであるインシデント管理、問題管理、変更管理、構成管理の4つのプロセスを構築することと、その運用をサポートするツールを併せて実装することをお勧めしたい。

　4つのプロセスとツールとの関係を以下に示す。

図2：ITILプロセスとサービスデスクツール

短期間でプロセス改善の効果を上げるには、運用プロセスのベストプラクティスであるITILサービスサポートの、インシデント管理、問題管理、変更管理、構成管理の各プロセスをまず構築することと、その運用をサポートするサービスデスクツールを併せて導入することを推奨する。

　このように構築することで上述の4つの課題にどのように対応できるかをまとめると次のとおりである。

課題1：プロセスおよび、役割と責任の明確化

　日々使用するプロセスであるインシデント管理、問題管理、変更管理、構成管理のプロセスとその詳細アクティビティが定義され、各アクティビティをいつ、誰が実施するかが明確になる。

課題2：資産の管理

　ツール内にCMDBを構築することで、構成要素の変更履歴がツール内にすべて記録として残る。

課題3：スキルの向上とナレッジの共有

　ツール内に蓄積されたインシデント情報、問題情報、変更情報を検索できるようにするとともに、ツールが持つナレッジ管理機能を有効活用する。

　一般に、ナレッジを共有するためにはインシデントの対応履歴などの実データを蓄積しておくだけでは不十分であり、共有するためのナレッジを別途作成／登録し、絶えず最新となるようメンテナンスする手間を掛けることが重要である。

課題4：運用実績の記録

運用スタッフはすべてのアクティビティをツールに登録することで、インシデント情報、問題情報、変更情報がすべて構成要素にひも付けて登録される。

　構成要素はCMDBの中で相互に関係付けがされていることから「いつ」「誰が」「何をしたか」の記録を検索したり、「あるハードウェアに発生したインシデント一覧」や「あるサービスに対して実施された変更一覧」などのレポートが簡単に作成できたりと、蓄積した記録を有効活用することが可能になる。その結果、運用スタッフが各種報告書を作成する負荷の軽減となる。