～ＩＴコンサルタント養成講座～

皆さん、こんにちは！ 当メルマガを担当しています井上正和です。1３７回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。

今回はIT内部統制メルマガの第１４回です。
COBITがIT統制の「全社レベル統制」と「IT全般統制」の業務方針を策定する上で非常に有効な標準ガイドとなることはご説明しました（149回）。一方、ITILは業務規定やルール作りに有効であるとITGI (IT Governance Institute:ITガバナンス協会）では推奨しています。IT統制の統制レベルでみますと、これらは上位、下位の関係にあります。COBITとITILのその関係を捉えていきます。
COBITとITILの関係に入る前に、COSOとの関係から鳥瞰的に捉えてみましょう。
日本版COSOでは「ITへの対応」が追記されました。日本版SOX法ではこの内部統制に準拠する必要があることは先に述べました（139回）。この「ITへの対応」に対処するためにはIT内部統制として「全社レベル統制」、「IT全般統制」、「アプリケーション統制」といったIT統制が必要になりました（145回）。これらのIT統制に対して、COSOが推奨するCOBITがあり「全社レベル統制」の統制方針と「IT全般統制」の業務統制方針をカバーしています。ITILはCOBITのドメイン（４つのIT業務管理プロセス分野）で言えば、「運用と支援」を中心として業務統制方針の下位レベルである業務規定やルール規定に有効なリファレンスとなっています。
補足として、IT運用分野のセキュリティに関しては、ITILよりもISMS（Information Security Management System)を参照する方がより効果的な規定の作成が可能となります。ITGIでは、ISMSを推奨というより、ISMSは基本インフラとして捉えているようです。
COBITの４つのドメイン（管理プロセス）の34のITプロセスとITILの構成機能をマッピングしてみますと、COBITの「運用と支援」ドメインのITプロセス業務のほとんどをITILの構成要素の管理業務がカバーします。
ITILでの「変更管理」と「リリース管理」業務はCOBITでは「調達と導入」ドメインのITプロセスの業務として対応しています。
その他、ITILでの「変更管理」と「リリース管理」業務はCOBITでは「調達と導入」ドメインのITプロセスとして定義されていますが、ほとんどITの運用に係るCOBITのITプロセスはITILでカバーされています。
内部統制が日常の業務の統制に重点があることを考えますと、COBITとITILを中心に整理をしていくことで IT内部統制の業務は体系化できることになります。
今回はここで終わりです。
次回はＩＴＩＬのIT業務の内容レベルを「ITIL業務の統制項目」としてテーマに取り上げます。

（雑感）この事業を始めて、今月から６期目をスタートしました。ガムシャラにというより、“自分が好きで得意な分野で人様のお役に立てることを広めて生きたい。”の想いでした。商売なのです
が、絶対お役に立つ研修をと作っている間に8コースのITCA認定を受けました。“広めるためには本を書くことだ”と思い書き続けたら7冊になっていました。コースで生徒さんの方が良い意見の場合はすぐ改訂しました。ほとんどのコースが実施した数の改訂版が出来ました。初めは数人のクラスでつぶれるかな？と思いましたが、徐々に受講生が増えて行き、定期コースに近くなってきました。
これからも新しいテーマを追いかけて、“いつも夢の途中”の人生で居たいと思っています。
皆様のご指導、ご鞭撻をよろしく御願いいたします。

（注１）「ズバリ！経営戦略立案ソフト」を開発し、発売開始しています。
経営戦略目標から部門の行動計画まで、経営者が容易に、体系的に作成できる
パッケージです。
こちらです。 http://e-site-frontier.kir.jp/index-11.html
(注２) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらを参照 http://www.ism-research.com/book-3.htm
研修コースはこちらを参照 http://www.gtc.co.jp/semn/isc/itc.html
(注３) 「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編
メルマガの基礎知識の集大成をしました。
ＩＳＭリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです。 http://www.ism-research.com/book-1.htm
（注４）「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです。 http://www.ism-research.com/course-1.htm
（注５）「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー（無料）から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注６)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ（株）
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●（株）富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●（株）グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
（注７）メルマガの配信停止は次のURLをご参照ください。
こちらです。⇒ http://www.mag2.com/m/0000118350.html