内部統制にITILなどの標準化をどう使っていくか：M&A時代のビジネスガバナンス（4）（3/3 ページ）

[木田 律子，サン・マイクロシステムズ株式会社]

ISO/IEC20000の活用方法

　ITILの最初の導入としては上記で述べた4プロセスから始めるのが効果的かつ効率的である場合が多い。しかし、ITILの本当の真価はサービスレベル管理をはじめとする10個のすべてのプロセスが構築され、それらが相互補完することで発揮される。

　筆者が過去にコンサルティングでかかわった企業の多くが当初は2、3年後にはすべてのプロセスを導入する予定でプロジェクトを開始したにもかかわらず、上記4つのプロセスを構築したまま年月が経過してしまっている場合が少なくない。

　その理由としては、運用スタッフが構築済みプロセスの運用と改善で手がいっぱいで、新規プロセスに着手する余裕がなかったり、他部門の理解と協力が得られないことなどが考えられる。既存の4プロセスは比較的運用部門内で閉じているが、そのほかのプロセスを構築するためには開発部門をはじめとする他部門を巻き込まねばならない場合が多いのである。これを克服するためにはトップダウンでのプロジェクト推進が必要である。

　そこで、ISO/IEC 20000認証取得を運用改善の切り札として利用することを考えてみてはどうか。

　ISO/IEC 20000の要求事項としてのトップマネジメント・レビューによりトップマネジメントの関与が必須となるとともに、ISO認証を取得するということでトップマネジメントの理解も得やすい。また、ISO/IEC20000の認証を取得するためには、ITILの全10プロセスに品質管理の要素とセキュリティ管理の要素を加味したフレームワークを構築することが求められるが、これの良いところは、ITサービス管理全体のフレームワークが最初に構築されることである。

　企業では、日々の運用業務でのアクティビティに加えて、完全ではないにせよ、サービスカタログが作成されていたり、標準構成を定義したり、部分的な災害復旧対策が導入されていたりといった各種のアクティビティが存在する。それら既存のアクティビティを棚卸しし、フレームワークにマッピングしていくことで全体的な観点から整備の進み具合が見て取れる。ISO/IEC 20000の認証取得はITILの全プロセスを構築し終わってから取り組むもの、と認識されている方も多いが、決してそうではない。

　ただし、認証取得に取り組むうえで気を付けなければいけないことが2点ある。

　1つ目は認証取得が目的となってしまった結果、実運用と乖離（かいり）してしまうことである。運用スタッフの協力が得られないままに事務局と外部のコンサルティング会社だけで認証取得を急いだ場合に起こり得る。実績のあるコンサルティング会社と組めば実運用が伴っていなくても認証は比較的簡単に取れてしまう。

　しかしこれは悲劇の始まりである。なんとか初回監査を通過して晴れて認証を取得しても、その後も継続監査は毎年あり、そのたびに前年度の指摘事項をクリアし、継続的に改善が図られていることを示さなければいけない。もともと実運用と乖離しているものを改善し続けているように見せ掛けるための努力は、まったく無駄なものとなる。

図3：認証取得をプロセス改善に生かすためには実運用と乖離させないことが重要

　2つ目に気を付ける点はほかの認証との整合性だ。

　ISO/IEC 20000認証取得に取り組む企業はすでにISO9001やISO/IEC27001の認証を取得済みであることが多い。しかし、これらが往々にして別々の事務局によって相互に情報交換することもなくまったく独立した「品質管理システム」「セキュリティ管理システム」として構築されている。そこにまた新たに独立した「ITサービス管理システム」を構築するのだろうか。

　このようになる原因としては、認証範囲が異なっていたり、認証時期がずれていたり、監査法人が異なっていたりとさまざまな理由が考えられるが、これはダブルもしくはトリプルスタンダードが存在することになり、アプローチとして間違っている。

　運用スタッフにとって参照すべき運用管理プロセスは唯一であり、それが品質管理（ISO 9001）、セキュリティ管理（ISO/IEC 27001）、ITサービス管理（ISO/IEC 20000）のそれぞれの観点から監査され、強化されなければいけない。

　現在、この考え方に沿って監査法人も統合監査への取り組みを始めているので、お付き合いのある監査法人に相談されるとよいだろう。

図4：新たな認証取得の取り組み時は既存の認証との統合を検討することが重要

不具合 ・ダブルスタンダード ・管理システムごとのトップマネジメントレビュー ・文書の重複とそのメンテナンス ・年に何度も監査

原因 ・認証範囲が異なる ・事務局が別々 ・監査タイミングがバラバラ ・統合するためのリソース／時間がない ・認証機関が異なる など

利点 ・シングルスタンダード ・管理システムを複数の標準の観点から監査することで、効果的に改善推進 ・文書やプロセスの重複が解消し、メンテナンスが容易に ・統合監査を受けることで、監査対応負荷の軽減 ・統合監査による監査コストの削減

最後に

　内部統制構築に向けての取組みが真の運用改善につながるためには、重要なポイントが2つある。

ポイント1：トップダウンによる全体最適化のアプローチ

　プロセスは往々にして組織横断的である。最適化されたプロセスを構築するためには全体最適の視点が必要であり、構築したプロセスを現場に定着させるためにはトップマネジメントの関与が必須である。

ポイント2：スタッフのモチベーションの向上

　なんといっても改善活動の主体は、現場スタッフである。スタッフのモチベーションが高ければ、改善活動は活発になる。スタッフのモチベーションが向上するポイントを以下に挙げる。

●COBIT、ITIL、ISO/IEC 20000などの標準や規格を導入することで、改善の方向性が具体的に見いだせる

●COBITやITILのトレーニングを受け、グローバル認証を取得したスタッフは改善推進派になることが多い

●改善提案が取り上げられ、実行に移される仕組みがあり、改善の成果がトップマネジメントに正当に評価される

●プロセスと役割と責任が整備されることによって秩序が保たれ、不公平感が解消する

●所属部門（特に運用部門）に対する社内の評価が向上する

　貴重な時間とリソースを割いて、内部統制構築に取り組むのである。筆者は、その努力が真のIT運用改善につながれば、それは必ずスタッフのモチベーションの向上にもつながる、と信じている。

著者プロフィール

木田 律子（きだ りつこ）

サン・マイクロシステムズ株式会社

サービスビジネス統括本部 ビジネス推進本部 シニア・コンサルタント

汎用機でのアプリケーション開発を経て、UNIXベースのオープンシステムへの移行をメーカーのSEとして複数経験。2001年にサン・マイクロシステムズ株式会社に入社し、データセンタの運用改善に従事。ITIL Manager認定

「MA時代のビジネスガバナンス」バックナンバー

• 企業成長のためのインターネットとセキュリティ
• セキュアデータセンターとはどんなものだろうか
• 競争力を失わずに、セキュアなオフィスを実現する
• ビジネスガバナンスと情報ライフサイクル管理
• 内部統制にITILなどの標準化をどう使っていくか
• マニュアル統制の悪夢とBPMの利点を考える
• アクセス管理という言葉を誤解していませんか？
• 米国のSOX法対応で失敗した経験を生かすには