今回は、日本版SOX法が求めている財務報告の信頼性を確保するためのIT全般統制から、業務の効率化、コンプライアンス、さらには、経営戦略の実現までを目指したITガバナンスについて解説する。
IBM ビジネスコンサルティング サービス
SOX法が求めている統制は、財務報告の信頼性に影響を与える領域が中心となっており、IT全般統制についても同様の考え方で整備すべき対象範囲を限定することができます。一方で、IT全般統制の対象は、ITの企画や開発、運用・保守全般の業務、つまりIT部門の業務そのものです。これらは本来範囲を限定するのではなく、IT部門全体で組織的・体系的に整備・標準化に取り組むべき領域です。内部統制の目的を財務報告の信頼性に加えて、COSOフレームワークで定義される業務活動の効率性やコンプライアンスも含めてとらえると、IT全般統制の目指すところは、ITガバナンスを確立することに限りなく近づきます。
ITガバナンスの定義は様々ですが、経済産業省の報告書では、「企業が競争優位性構築を目的に、IT戦略の策定・実行をコントロールし、あるべき方向へと導く組織能力(組織・体制・管理プロセス)」であると述べられています。言い方を換えれば、ITガバナンスとは「ITを活用して、ビジネスへの貢献を最大化するためのマネジメント能力」といえます。
一般的にSOX法への対応は財務報告の信頼性に影響するリスクを最小化する視点に重きが置かれていますが、ITガバナンスの考え方はリスクを最小化するだけではなく、むしろITの活用によって得られるビジネス上のリターンを最大化する視点を併せもっているのが大きな特徴です。IT部門はSOX法への対応を、単なる法的規制への対応ととらえるのではなく、ITガバナンス確立の好機と位置づけることで、規制をビジネスチャンスに変えることも可能なのです。
COBITとITマネジメント・モデルを組み合わせて攻めのITガバナンスを実現
COBITを活用することで、ITガバナンスを網羅的かつ効率的に整備できることは解説しました。しかし、COBITでは、WHATである「達成すべきコントロール項目(統制項目)」は明確に定義されていますが、HOWである「組織としてどのように実現するか」については、あまり言及されていません(注3)。
そのため、組織にCOBITを導入し活用するには、さらに手続きや手順として落とし込む必要があります。図6は、COBITと主たるITマネジメント・モデルの位置づけを示したものです。COBITを傘として、開発組織の成熟度モデルであるCMMI(能力成熟度モデル統合)が「調達と導入(AI)」ドメインを中心としたHOWにあたる手続きや組織体制などをカバーしています。同様に運用におけるベストプラクティスであるITIL(IT インフラストラクチャー・ライブラリー)やセキュリティーの国際標準であるISO二七〇〇一が「デリバリとサポート(DS)」ドメインを中心にカバーしています。
 |
| 図6●COBITと主要なITマネジメント・モデルの関係 [画像のクリックで拡大表示] |
CMMIによるシステム開発プロセスの改善
CMMIは米カーネギーメロン大学のSEI(ソフトウエア・エンジニアリング研究所)が開発した「ソフトウエア開発組織における成熟度モデル」です。世界の多くのソフトウエア開発組織で採用され、品質と生産性向上に効果を挙げています。
図7にCMMIの成熟度レベルごとのプロセスエリアを表示しました。CMMIの成熟度レベル2で定義されているプロセスは、「プロジェクトマネジメント」のプロセスを中心に、「要件管理」や「構成管理」「品質保証」など、情報システム部門が本来マネジメントすべきプロセスを中心に定義されています。そして成熟度レベル3で定義されているプロセスのコアである「エンジニアリング・プロセス」は、日本の多くの情報システム部門では、情報システム子会社やベンダーに委託しているプロセスです。言い換えれば、開発分野におけるITガバナンスを整備するために、情報システム部門は、CMMIの成熟度レベル2のプロセスを中心に整備すると同時に、情報システム子会社やベンダーと共同で、CMMIの成熟度レベル3のエンジニアリング・プロセスについて整備する必要があります。
 |
| 図7●CMMIの成熟度レベルとPA(プロセス領域) [画像のクリックで拡大表示] |
ここで注意すべき点は、エンジニアリングの開発標準の整備は、システム保守を踏まえて、整備する必要があることです。最近の日本企業における情報システム部門では、マルチベンダー化が進み、開発を担当したベンダーが採用した開発標準をシステムごとに採用し、組織としての開発標準が明確でない場合が多く見られます。しかし、開発したベンダーとは異なるベンダーにシステム保守を委託する、または自社でシステム保守を行う場合、様々な開発標準で開発されたシステムを維持していくことは、品質上リスクが高く、生産性も期待できません。したがって、エンジニアリングの開発標準は、組織のアーキテクチャー方針を踏まえ、保守を委託する可能性の高いベンダーと共同で整備していくことが望ましいと考えられます。
COBITとCMMIを組み合わせて活用した企業に米ロッキード・マーチン社などがあります。同社は、COBITを品質管理のフレームと位置づけ、チェックリストとして活用し、CMMIにより開発プロセスを改善しました。
ロッキード・マーチン社は、CMMI導入前に比較して一四〇%以上に生産性を向上し、五〇%以上の障害削減を達成しています。同社は、ITに対する内部統制を整備する(主として守り)だけでなく、CMMIを組み合わせて活用することで、大幅な生産性と品質向上(攻め)を実現しました。
次に、開発プロセスをサポートするIBMの「ラショナル」ソリューションをご紹介します。図8はラショナルが、システム開発のどのプロセスエリアを支援可能かを表したものです。
 |
| 図8●システム開発プロセスにおけるRationalソリューション [画像のクリックで拡大表示] |
「ラショナル」ソリューションは、ポートフォリオ管理による「経営に貢献するためのプロジェクトの実現」から、モデルドリブン開発などの最新テクノロジーを活用した「ビジネススピードに追随できる柔軟な情報システム基盤の構築」まで、システム開発にかかわるすべてのプロセスエリアの変革をサポートします。また、ソリューション単独での導入や、開発組織の成熟度に合った導入が可能です。
開発にかかわるIT全般統制のソリューションとしては、(1)ソフトウエア開発ライフサイクル全体での機能的コンプライアンス要件を追跡および管理できる「ラショナルプロ」、(2)電子署名、監査証跡、およびユーザー認証のサポートを備えた監査可能な変更管理プロセスを提供する「クリアクエスト」、(3)分散環境での構成管理を自動化する「クリアケース」があります。「ラショナル」ソリューションの導入により、開発プロセスにおけるコンプライアンスの強化と品質および生産性の向上を同時に実現できます。
|
出典:「プロジェクト現場から見た内部統制~実務者が語る日本版SOX法対策」(IBM ビジネスコンサルティング サービス著,日経情報ストラテジー編集,日経BP社刊)より(詳細情報はこちら)
