~ITコンサルタント養成講座~
皆さん、こんにちは! 当メルマガを担当しています井上正和です。137回からは、このメルマガでIT内部統制を取り上げます。
日本版SOX法といわれる内部統制の外部監査は2008年4月1日からの事業年度以降が対象となります。日本版SOX法による内部統制の対象企業は上場企業です。
しかし、今年6月の新会社法では資本金5億円以上又は負債200億円以上の企業が内部統制の対象となります。対象会社数は10万社に膨れ上がります。10万社が対象ということは顧客や取引先を考えると内部統制を実施している企業が必ず営業活動において存在することになります。
そういった企業は自社の取引先は内部統制が出来ている会社か否かの観点で取引を進めることになりますから、全ての企業が関係してくることになります。日本版SOX法ではこの内部統制の中でIT統制がきわめて重要な役割を果たします。
このメルマガでは、“IT内部統制として如何に対処すべきか”の観点で解説していきたいと思います。
今回はIT内部統制メルマガの第25回です。
IT統制の良否はその成果が現れるIT 運用サービスプロセスで評価されることになります。
このIT 運用サービスの分野に適用する標準の手引書はITIL(IT Infrastructure Library)がありました。このITILを活用して、IT統制のための整備手順を解説しましょう。
IT運用サービスには問い合わせやインシデント(問題発生)へ対処する「サービスデスク分野」、この問い合わせやインシデント(事故)を日常的に対処する「サービスサポート分野」、このサービスサポート分野を中長期的に改善していく「サービスデリバリー分野」がありました。
IT内部統制では業務プロセスの統制度合いを見ていくわけですから、その実施優先順位は現場との接触が近い順になりますので、「サービスデスク分野」、「サービスサポート分野」、「サービスデリバリー分野」の順です。それぞれの分野の留意点を述べておきましょう。
(1)「サービスデスク分野」:問題が発生した場合の対応部署が無ければ統制は不可能ですから、最初に整備すべき運用機能です。このサービスデスクのサービス基準としてSLA(Service Level Agreement)の契約を交わし、目標を設定することです。問題の的確な判別も目標があって初めて可能となり、統制も可能になるからです。
(2)「サービスサポート分野」:サービスデスクを通してエンドユーザーから受けた問題を日々その都度対処(リアクティブ)するための日常の運用サービスとしてPDCAをまわしていく「サービスサポート」を整備することです。このサービスサポートの管理業務の中も優先順位があります。現場への関係度が高い順に、「インシデント管理」、「問題管理」、「変更管理」が第1ステップ。第2ステップで[リリース管理]、最後に「構成管理」の順になります。
(3)「サービスデリバリー分野」:サービスデスクやサービスサポートを中長期の安定的な統制のために、中長期的にPDCAを回して運用の改善していく(プロアクティブ)対処となる「サービスデリバリー」を整備していくことになります。この中の業務の優先順位も現場絵の関係度が高い順番
です。最初に「サービスレベル管理」、「キャパシティ管理」、次に「可用性管理」、最後に「ITサービス財務管理」、「ITサービス継続性管理」になります。
IT内部統制のプロジェクトは全社体制のプロジェクトになります。経理・財務部門とIT部門を中心に外部監査法人、内部監査部門、そして対象教務プロセスを持つ各事業部/部門と各連結子会社を加えた体制となります。
これほどの大きなプロジェクト体制を推進していくには、プロジェクトの進め方に工夫が必要です。例えば、内部統制方針書や計画書を作成するまでは、経理・財務部門とIT部門を中心の体制で進め、その後の展開フェーズで関係各部門を加えたプロジェクトとして進めるのが賢明です。
25回に亘って述べてきましたIT内部統制の内容は米国の「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統制目標」(ITGovernance Institute 2004年翻訳版)を中心にまとめた内容です。このガイド内容を基本として、各国で内部統制のガイドが作られています。内部統制の概観を利用するには最も良い資料でしょう。
平成18年11月21日に金融庁から発表された「財務報告に係る内部統制の評価及び監査に関する実施規準」の内部統制の記述内容もほとんどこの資料を基礎としています。また、平成19年1月19日に、経産省からIT統制に関するガイドラインの試案が出ました。この両方のガイドラインでIT内部統制の日本版COSOの実施ガイドラインが出来上がることになります。
最後に、IT内部統制の作業は大変だと思われたでしょうが、正当な業務プロセスの仕組みづくりですのでやっていくしかありません。ただ、2008年4月から全面的に適正なプロセスにすると考える必要はありません。この分野の権威である牧野二郎先生は“うそをつかない気風、風土作りから始め、5年から10年かけて順次改善して構築していく心構えが必要”と言われています。
今回はここで終わりです。
次回から5-6回をかけて、金融庁発表の「財務報告に係る内部統制の評価及び監査に関する実施規準」をもとに実施基準の要点をまとめ、経産省のIT統制ガイド試案をテーマに取り上げて、最後のまとめとしようと思います。
(雑感)先週、内部統制のセミナーに出ました。聴衆は500人前後の大盛況でした。著名な弁護士の方が出版される本も含めて、金融庁の実施基準の概説の話をされました。時間は1時間です。時間の制限もあるのでしょうが、心構えの話になってしまいました。昨年、金融商品取引法が発表された時の話のレベルはほとんど変わりません。皆さんはフラストレーションが溜まっただろうと思いました。現在、16社の主要監査法人や主要コンサル会社に指導やコンサルを申し込んでも受け付け拒否の状態のようです。コンサル費用が1人月700万-800万円のところもあるようです。
依頼するにしても、全体像を把握して、依頼対象分野を絞り込んでおくことが必要です。このメルマガで進めてきた米国の「サーベインズ・オクスリー法(企業改革法)遵守のためのIT統
制目標」(ITGovernance Institute 2004年翻訳版)が基礎にあり、金融庁ガイド、経産省ガイドを理解することが必要です。中心となるIT統制はITを基礎のした方々が学習するほうが理解し易いでしょう。
弊社では金融庁ガイド、経産省ガイドを含めたIT内部統制の全体像を理解する1日のコースを開催します。
時間のムダやお金のムダにならないよう、まずそこからは始めませんか?
案内はこちらです。⇒ http://www.ism-research.com/course-6.htm
(注1)「IT内部統制実践知識修得コース」と「経営戦略立案―OJTコース」を東京、神戸教室で実施します。詳細は次のURLのご参照をお願いいたします。
◆IT内部統制の実践知識修得コース: http://www.ism-research.com/course-6.htm
◆経営戦略立案-OJTコース : http://www.ism-research.com/course-5.htm
(注2) 「IT内部統制の実践入門」としてメルマガ内容をPPTを用いて具体的に図解を中心にまとめた教材本としました。管理者や推進者の学習及び研修用としてご活用いただけます。
こちらです⇒ http://www.ism-research.com/book-4.htm
(注3) ITコーディネータガイドラインV1.0対応の「ITコーディネータ試験想定問題
集」と「ITコーディネータ試験対策コース」を開発しました。
問題集はこちらです⇒ http://www.ism-research.com/book-3.htm
研修コースはこちらです⇒ http://www.gtc.co.jp/semn/isc/itc.html
(注4)「経営戦略」、「情報戦略」の基礎知識を整理したメルマガ本で、この応用編メルマガの基礎知識の集大成をしました。
ISMリサーチが絵入り解説で提供していますので、まとめには最適です。
こちらです⇒ http://www.ism-research.com/book-1.htm
(注5)「経営戦略」、「情報戦略」のオンサイト研修を実施しています。適正な
価格で、カスタマイズした実践的コースを提供します。
こちらです⇒ http://www.ism-research.com/course-1.htm
(注6)「経営戦略」、「情報戦略」の基礎知識を今までのメルマガのマグマグの
バックナンバー(無料)から入手することができます。
こちらです。 http://backno.mag2.com/reader/Back?id=0000118350
(注7)小職が実施している主な研修機関の研修コースは以下の通りです。
●株式会社 アスキー
http://ascii-business.com/abiz/itseminar/
●グローバルナレッジ(株)
http://www.globalknowledge.co.jp/reference/Reference.asp?KBN=1&DCODE=29&SCODE=170
●(株)富士ゼロックス総合教育研究所
http://www.pm-fxli.com/multi.html
●(株)グローバルテクノ
http://www.gtc.co.jp/semn/isc/itc.html
http://www.gtc.co.jp/semn/isc/kso.html
★メルマガの配信停止は次のURLをご参照ください。
こちらです⇒ http://www.mag2.com/m/0000118350.html