運用ノウハウを学ぶ

システム管理に関わるベーシック情報やトレンドをご案内します!

前向きに内部統制に取り組むために 【第1回】 「シスドック」の活用例のご紹介
2010年04月01日 18:19

IT部門は、「最近はつまらない部門になった」との話をよく耳にします。
1.個人情報保護やJsox対応等の外圧対応で従来とは違う面白みが少ない分野での業務が増えた
2.新規の開発案件がほとんどなく、主たる業務が運用と保守になってしまった
3.経済状況の悪化でIT投資が絞られ、経費節減のみが業務課題の状況だ
こんな話が多いのが実態です。 
そんな状況の中でJsox対応、IT全般統制の業務が開始されましたので、IT部門のなかでは、「やらされ感」
が増殖しているのが実態ではないでしょうか??人が少なく経費も抑えられた状況で、業務が増えること
や業務手順の承認が必要となることへの抵抗が、IT部門の現場でおきています。また、規程類や業務フロ
ーの整備も手間と根気のいる仕事で、実際の業務実態との整合性確認も含めて、多大な労力がかかる業務
となっています。そのような状況化で多くの企業の実態は、対応自体が中途半端な状況でお茶を濁して
しまっているのです。 
そんな中で、Jsox対応、IT全般統制を「IT部門の業務カイゼンのチャンス」と逆に位置付けて、「前向き」
な姿勢で活動中のA社の事例を紹介いたします。 
A社は、家庭用品の製造販売メーカーで、決算期が1月から12月であった関係もあり、2009年1月より、Jsox
対応、IT全般統制対応を開始しました。取組むにあたり、以下の4つの目標を立てました。
1.2007年、2008年実施の監査法人による財務諸表監査の一環として実施されたIT全般統制整備評価での指
   摘事項への対応を優先的に実施(数項目の指摘があり)
2.ISMSリスク対応計画に基づく対応を実施(ISMSはすでに取得済みの状態)
3.ISMS外部審査での指摘事項への対応を実施
4.全体的に本番環境へのアクセスを優先度の高い統制対象と位置付け変更管理、アクセス管理を重点的に
   是正 
実施にあたりましては、「シスドック」を活用し、部課長3名とシスドックアドバイザーとして私が加わった
体制で、2008年1月よりプロジェクトを発足しました。実施方法は、従来からの運用にしばられることを排除
し、あるべき姿をまずは考えることを前提に
1.リスクコントロールマトリックス、業務フローの作成
2.規程・細則・マニュアル類の整備
3.証跡となる関連ドキュメントの整備
4.運用管理システムの構築(開発変更進捗管理、本番登録履歴管理、問合せ障害管理、証跡ログ管理等)
を実施しました。 
2008年10月には、一部を残し整備・構築が完了し、全般的な試行運用を開始し、問題点の是正をはかり、
2009 年1月よりの本番を迎えました。

全体的な方針として、
1.早め早めに試行運用をすることによって、机上では気がつかなかった問題点を明確化すること
2.継続的な運用可能な統制を構築する
3.Jsox対応、IT全般統制対応を部門の業務カイゼンとして位置付けて「前向き」に対応する
の項目を定め活動を実施、継続しています。 
次回より、「前向きな規程・細則・基準」の実施手順と実施内容、実施のポイントを紹介いたします。

詳細の内容は、
step.1 IT全般統制の評価単位を自社の管理手順の視点で明確化
step.2 IT関連ドキュメント(規程・細則・基準)の整備
step.3 システム開発・保守作業のルール化
step.4 システム運用・管理作業のルール化
step.5 アクセス制御のルール化
step.6 各種証跡の収集と検証のルール化
step.7 インシデント管理、障害管理による部門課題の可視化
step.8 After-Jsox対応(Jsox対応、IT全般統制対応のPDCAサイクル実践)
で、「前向きな内部統制」をどのように構築したかを実感していただく予定です。
IFRS/J-SOX
前向きに内部統制に取り組むために

私が、主に担当する業務は、BSPSOLの主力サービスである「シスドック」のアドバイスサービスです。 「シスドック」は、ITシステム運用のホームドクターとして、 1.「人材」・「運用プロセス」・「運用システム」における多角的な診断による潜在的な問題の可視化 2.徹底した現場主義によって、職場における課題や問題の共有と参画意識向上 3.PDCAサイクルの実践を通じ、ITサービスの継続的な品質向上を実現し、 運用部門、システム部門を元気にする活動を実施しています。 サービス提供開始から4年目になりますが、沢山のお客様の共感をいただき、活動しています。 サービス提供開始2年目からは、Jsox対応、特にIT全般統制の分野で「シスドック」を活用するお客様が 増えてきて、現在は、After-Jsox対応も含めて多くのお客様の活用事例が蓄積されています。 今回から数回にわけて、このコラムの場で事例を紹介させていただければと思います。

記事一覧へ
筆者紹介

株式会社ビーエスピーソリューションズ 技術部
 
シニアコンサルタント 佐藤 陽一

コメントを書く
コメントを書く

未ログイン: ログインする

コメント: ログイン(会員登録)すると、コメントを書き込むことができます。

この記事に寄せられたコメント

2件中

2件中

  • 新着Q&A
  • 最新の回答

システム管理者認定講座<全コース共通>試験のみ受験希望の方はこちら

動画で見るセミナー
動画で見るセミナー

こちらは、システム管理者認定講座の認定試験の受験のみ希望される方の申込みページです。 システム管理者認定講座のアソシエイト(初級)、バチェラー(中級)、マスタ

個人情報保護方針
運営者につい て
利用規約
サイトマップ