内部統制強化、とりわけIT統制の強化は、企業にとってリスクマネジメントの要となってきています。しかしながらIT統制の強化はITマネジメント業務の負荷を増大させる側面も持っており、近年、IT要員を削減する傾向にある中堅・中小企業のIT部門にとっては、その運用も含めて、対応の難しい課題といえます。
さてIT統制強化はIT部門に対して、具体的にどのようなことをもたらすのでしょうか?
例えば、アカウント管理やシステム変更などの手続きが強化され、申請管理や承認作業などが確実に増えます。また仕様書などのドキュメントの作成や維持、各種ログのモニタリング、IT資産管理作業なども確実に行うことが求められます。またサーバ室の入退室管理や空調、電源の管理作業、外部保守要員による作業の管理なども求められます。
いずれも必要なことだとは認識されていても、大きな問題が発生しないかぎりにおいては、コスト面や人員面の問題を理由に、やり過ごされてきた事柄です。IT統制の強化は、このような従来やり過ごされてきた事柄を確実に行うことを求めるものです。従って最小限の人員で何とかやりくりしていたIT部門にとっては、きわめて厳しい状況になってくるわけです。
そのような中でITアウトソーシングサービスの活用は、確かなIT統制の実現に向けて、非常に有効な手段であるといえます。増大するITマネジメント業務をアウトソーシングすることにより、ファシリティ整備や人材調達、育成といった課題から開放され、本来IT部門が果たすべき役割の実現に注力することが出来ます。
ITアウトソーシングサービス活用のメリットは、局所的な対処に留まらず、多くの課題に対して、総括的かつ抜本的な解決が図られることにあります。
災害対策といった要件から、サーバの物理的セキュリティの確保、開発と運用の職務分離、各種手続きにおける監査証跡確保、ルーチン的な運用管理、定常的なモニタリングの実施や24時間体制での障害対応など、データセンターにサーバを収容し、その運用を含めてアウトソーシングすることで解決していく課題は非常に多いといえるでしょう。
IT統制強化によって、IT部門の業務負荷は増大傾向にあります。アウトソーシングサービスを活用することによって、その業務負荷を軽減することが可能になり、より確実なIT統制の実現が可能になります。
以下はアウトソーシングによって課題解決可能な領域の例です。
| IT統制強化においける要求事項例 | IT部門の業務負荷の増大 |
|---|---|
| 災害対策や事業組織計画を策定し、それを実行しているか | 分散化による運用負担の増大や、堅牢なファシリティ確保のためのコスト及び管理負担の増大を招きます。 |
| サーバールームは外部からの物理的に隔離されているとともに、入室制限及び入室記録管理がなされているか | 隔離されたエリアの確保や空調や電源などの設備整備、入室管理負荷の増大 |
| 開発担当者と運用担当者の職務分離や、上位者認証などが明確になっているか | IT要因の確保やIT管理体制の整備 |
| 定められたルール通りにシステム運用されていることが記録され、確認されているか | IT管理業務量自体の増大 |
| 収集されたログや各種記録について、定期的なモニタリングや分析、異常検知が実施されているか | より一層品質の高い業務実現に伴う負荷の増大 |
| 収集されたログや各種記録について、定期的なモニタリングや分析、異常検知が実施されているか | 従来、十分に行われていない業務への対応 |
| 障害発生時の対処ルールが化され、影響が最小限に抑えられる対処がなされているか | 24時間管理体制の整備 |
IT統制強化に伴うIT部門の業務負荷は、ITアウトソーシングサービスの活用により、大幅に軽減することが出来ます。しかしながらその際、アウトソーシング先自体を管理、統制することもIT統制の一環、いわゆる「外部委託先管理」として非常に重要な要素となってきます。
ではこの「外部委託先管理」はどのように実現したらよいのでしょう?
アウトソーシング先を管理、統制していくには、以下の2つの要件が必要となってきます。
上記の(1)はいわゆる「SLA」と呼ばれるもので、提供を受けるサービス項目別にその内容(サービス時間帯、頻度、範囲、レスポンス時間、管理項目、レポート内容、他)を細かに規定し、双方にて合意を取っておくものです。これにより実現すべきサービスレベルや統制レベルを定義するわけです。
上記の(2)は「SLA」に定められたサービスが実際にどのように行われたのかを自ら確認するか、サービス提供を行うアウトソーシング先からレポートさせ、それを確認することにより行います。例えば障害対応報告やジョブ・バックアップ実行履歴、媒体管理履歴や性能情報、サーバ室への入退室記録やサーバへのアクセスログ情報、空調や電源、消火設備の点検・保守情報などについて、アウトソーサーからレポートさせ、それを確認することで統制することも可能です。
いずれにしても、「外部委託先が何をやっているのか知らない」「わからない」という状況は、ITを「統制していない」ということになりますので、きちんと定期的にモニタリングを行うことが求められます。このような外部委託先管理自体が面倒なようにも感じられるかもしれませんが、もし全ての作業を自社内でやった場合においても、同じように情報を収集・管理し、それをモニタリングすることは必要になります。
また新規にITアウトソーシングサービスを利用しようとする場合は、当初から上記のような要件を確認すればよいわけですが、既にアウトソーシングされている場合には、その契約内容やモニタリング方法を見直さなければならなくなるケースも多いでしょう。特に企業グループ内にアウトソーシングしている場合などは、契約内容自体が不明確なケースが多く見られます。
ITアウトソーシングサービスの利用は、本来内部で行うべき統制作業を外部でやってもらうという意味で、IT部門の業務負荷軽減を実現しますが、それは明確なSLAとそれに基づくモニタリングによる「外部委託先管理」が前提になります。きちんとしたSLAを提示するか、必要なモニタリングレポートを提供できるかという点は、今後のアウトソーシング会社の選択のポイントになるでしょう。
