PR

内部統制の整備におけるITの果たすべき役割は大きい。では,企業が「ITへの対応」を実現するために,運用管理者は何をすべきなのか?ここからは,その疑問に答えていこう。

 内部統制の整備における「ITへの対応」は最近の情勢をもとに日本で独自に明確化されたポイントだ。企業がIT抜きにビジネスを行えなくなっている現状を踏まえ,内部統制の目的達成に不可欠の要素とされている。

 「ITへの対応」という言葉には,ITの影響をプラス面とマイナス面の両方から評価すべきという意味がある。

 金融庁が公表した日本版SOX法の実施基準では「ITへの対応」は「IT環境への対応」と「ITの利用及び統制」から成る。特に後者が「利用」と「統制」を区別している点に注意したい。

 「ITの利用」はITが内部統制の整備に役立つというプラス面に着目した表現である。例えば,ITによって,売上高や在庫の把握など財務諸表に影響する業務が,手作業に比べて素早く正確になることを指す。

 一方,「ITの統制」はITが内部統制に与えるマイナス面に着目する。例えば,システムが障害で止まったり,プログラムの不良で誤った結果を出したり,情報が漏洩(ろうえい)したりすれば,統制に不備があると考える。

 運用管理者にとっては,このうち「ITの統制」の実現が重要な課題である。ごく基本的なことではあるものの運用管理の果たすべき役割は大きい。システムの稼働監視,構成管理,ソフトウエアの配布,セキュリティ管理など取り組むべきことは多く,どう手を付ければいいか,悩んでいる場合もあるのではないだろうか。

運用管理の強化が対応に不可欠

 しかし,心配しすぎる必要はない。そもそもITの統制は,日本版SOX法が求める内部統制の整備がなくても取り組むべき課題がほとんどである。ITの統制が盛り込まれた背景は,ITが企業のビジネスに深く関わっていることにある。これまでも「ITIL(Information Technology Infrastructure Library)」によって運用管理の強化が企業に不可欠とされてきた。それと背景は同じである。

 運用管理者としては,内部統制の整備についても,運用管理のレベルを上げるためのチャンスの一つととらえ,運用管理のいっそうの強化に取り組んでいけばよい。

 内部統制の整備では,経営者の評価や外部の監査を受けるなど,いくつか通常の運用管理の延長と異なるポイントはある。そこでここでは,運用管理者が重点的に対処すべきポイントを,Q&A形式で紹介していこう。

 記事中では,日立製作所の「統合システム運用管理 JP1」を例にポイントを示していく。国内トップクラスのシェアを誇るJP1は,2007年3月にリリースした新バージョンのV8.1で内部統制を強く意識した「監査証跡管理」や内部統制の整備に役立つ「ITILサービスデスク」機能を中心に,幅広い機能を強化した(図1)。JP1を効果的に利用することで,運用管理者はITの統制を効率的に実現できる。

図1●内部統制の整備を強力に支援するJP1 V8.1
図1●内部統制の整備を強力に支援するJP1 V8.1
監査証跡管理とITILサービスデスク機能への対応が目玉。このほか各種機能の強化により,運用管理の面からITの統制の整備をさらに効率的に支援できるようになった。この記事ではJP1を例に運用管理面で取り組むべき内部統制について解説する  [画像のクリックで拡大表示]