|
|
 |
|||||||||||||||||||||||||||||||||
 |
|
||||||||||||||||||||||||||||||||
企業が競争力を持続・向上するためには、新しい製品やサービスの投入が不可欠である。その際必ず必要となるのが、システムの変更だ。 たとえば、新製品の発売や販売チャネルの拡大では、システムのマスターデータを変更しなければならない。また、新規サービスを導入するには、アプリケーションの新規開発や変更が必要である。 J-SOX法では、財務・会計システムにおける変更に関して、適切な承認手続きを経て、確実に変更作業が行われたことを証明することが求められる。 しかし、標準化されたプロセスでシステム変更の申請・承認を確実に行っている企業は少ないと堀江氏は次のように語る。 「システム変更管理を実施している企業でも、紙での申請・承認がほとんどです。ただ、紙での承認では、本来承認すべき人に代わって代理の人が印鑑を押してしまったり、申請者と承認者が同じだったり、不適切な承認を回避できません」
特に問題になりがちな課題が、次の3項目だ。 これらの課題は、たとえば変更したアプリケーションや業務運用定義などをテスト環境から本番環境へ移行する際に、殊に問題となる。本番環境への移行において、不正や移行ミスを防止するために、規定された手続きにしたがって実施することが求められるからである。 そこで、本稿ではテスト環境から本番環境への移行における変更管理にスポットを当てて紹介する。 上記の課題を解決するためには、変更プロセスを標準化し、ワークフローシステムを利用して、正しい手順を踏んで変更作業が行われるようにすることが重要だ。システムを利用すれば、代理承認や申請者と承認者が同一といった不適切な決裁が行えないようになる上、申請・承認の証跡も確実に残る。 また、進捗状況が画面上で目に見えるので、承認フローが停滞した場合も、誰のところで止まっているかが一目瞭然(りょうぜん)。止まった書類を求めて、あちこちを探し歩く必要もない。 正しい手順とは、たとえば、次の図のような手順である。
開発が完了したアプリケーションなどに関して、開発担当者が上長に本番へのアップを申請し、それが承認されると運用部門で受け付け、上長の承認を経た後、運用担当者が本番環境へアップする。堀江氏は、「IT全般統制では開発部門と運用部門の職務分掌が求められるため、開発担当者が本番環境を操作することは容認されません。したがって、本番環境への移行は運用担当部門において規定の承認手続きを経た上で実施するような統制運用が必要です」と言う。 さらに、その結果を開発部門で問題なく更新されたことを確認してはじめて、更新作業は終了となる。 また、内部統制の実現のためには、変更結果の確認も必要。変更における設計情報と結果の確認や変更履歴の管理を確実かつ効率的に行えるしくみが必要である。 上記のような変更管理を実現するのが、富士通の「Systemwalker IT Process Master」(以下、ITPM)だ。最後にITPMを導入することで、従来管理できていなかったシステム変更に、統制を効かせることが可能となったA社のケースを紹介しよう。 A社では、従来あまり管理できていなかった業務アプリケーションの変更について、Systemwalker IT Process Masterで変更プロセスを規定し、管理することにした。今回新たに規定されたプロセスは以下の通り。
以下に、改善されたプロセスを、順を追って見てみよう。
1.開発部門が業務アプリケーションの変更を申請
※この事例では、自動回送を行っているが、承認者をケース・バイ・ケースで指定することも可能
2.運用管理部門に回送され、運用管理者が承認を実施
堀江氏は、「ITPMは、案件ごとに承認履歴や設計情報、変更内容、関連情報など、必要な情報をすべて一元管理可能です。承認時に、関連情報もあわせて確認できるだけでなく、後日の調査も効率的に行うことが可能です」と語る。
3.承認後、業務アプリケーションの入れ替え作業を実施
4.開発部門による変更結果の確認
A社は、上記のプロセス改善とシステム導入によって、統制のとれたシステム変更を実現。さほど手間をかけることなく、システム変更の品質が向上し、監査にも対応できるようになった。 このように、ITPMを利用すれば、システム変更管理を確実に、効率よく行うことが可能になる。次回最終回は、内部統制を確実にするためのIT資産管理をどのように実施すべきかについて紹介する。
|
|||||||||||||||||||||||||||||||||
|
 |
|||
|
||||
|
||||
