IT全般統制のあるべき姿に向けて業務プロセスを改善

目的

アプローチ

システムの効果

ビジネスへの効果

企業会計審議会内部統制部会によって示された同法の実施基準の中には、「組織目標を達成するために予め適切な方針及び手続きを定め、それを踏まえて、業務の実施において組織の内外のITに対し、適切に対応すること」というIT対応も、基本項目のひとつとして掲げられている。フジネットワーク（FNS：Fuji Network System）を通じて、系列27局に対してテレビ番組を提供している在京のキー放送局フジテレビジョンもまた、そうした内部統制への対応を急ピッチで進めてきた企業のひとつだ。

もっとも、同社の場合は日本版SOX 法の施行を契機に取り組みを開始したわけではない。「それ以前の2005年頃から内部統制に取り組まなければならないという明確な意識を持っていた」と、同社の執行役員であり情報システム局の局長を務める沢野正邦氏は言う。

さらに、情報システム局システム企画室室長である和賀井隆氏が次のように補足する。
「当社では、人と人との信頼関係をベースに、ITシステムに素早くアクセスできる利便性を重視していました。しかし、個人情報保護法の施行やその後の会社法の改正、日本版SOX法など、より強くITへの統制活動が求められるようになりました。そこで情報システム局の総意として、これまでシステム運用プロセスの中で対応してきたことを、さらに明文化されたルールやポリシーとして反映し、以前にも増してガバナンスを強化すべきと考えました」

その時点の最新アーキテクチャを導入してきた結果社内には
管理体系の異なるシステムが存在

報道機関としての使命を持つ同社には、常に臨機応変かつスピーディな対応が求められる。例えば、何か事件が起こったときに、担当ディレクターが申請書を提出し、責任者の承認を得てから取材クルーを編成して現場に派遣するといったことをやっていたのでは、とても間に合わない。

「ある意味において、我々は内部統制には適さない企業文化の中で育ってきたのです」と沢野氏は言う。

そうした事情は、これまでのITシステムへの取り組みにも見ることができる。情報システム局システム企画室システム開発部の部長を務める伊藤春男氏は、同社のITシステムについて次のように説明する。

「昨今のテレビ放送のデジタル化への対応をはじめ、私たちは歴史的にみてもITシステムに対して、先駆的かつ積極的な投資を行ってきたという自負があります。その時点における最新の技術を導入し、最新のアーキテクチャに基づいて、必要なITシステムを構築するというのが基本的な考えです。しかし、その結果として、社内にはアーキテクチャの異なる多様なITシステムが存在しています。もちろん、それらのITシステムは個々としては厳重に運用管理されているのですが、一方で、すべてのITシステムを貫いた標準化ができているかとなると、『できている』とは必ずしも言い切れない状況にありました」

それぞれのITシステムは、個々の目的やアーキテクチャによって最適化された運用管理が行われているものの、全社レベルでの運用管理の業務プロセスには、改善の余地が存在していたのである。

個人情報保護を推進している過程で新会社法が制定される。情報システム局は、これまでの一連の取り組みが内部統制という枠組みであることを認識し、内部統制の具体的な情報が少ない中でIT部門として担うべき役割の模索を続けた。そうした中で、さらに日本版SOX法への対応という新たな課題も浮上してきたのである。そこで同局は、具体的な施策を見定めるため、2006年10月にHPにコンサルティングを依頼。IT全般統制に向けた第一歩として、ITシステムの運用管理にどのような問題が内在しているのかを明らかにするため、アセスメント（現状把握）を受けることにした。

「HPのコンサルタントは、我々が持っていた問題意識をとてもよく理解してくれるとともに、HP自身が米国のSOX 法対応などで経験してきたこともベースにしながら、IT全般統制に対する考え方を非常にわかりやすく説明してくれました。世の中で一般的に行われている運用管理のあり方と、我々がこれまで行ってきた運用管理をつき合わせ、あるべきIT全般統制の形を模索していく上で、HPは最適なパートナーになってくれると判断しました」と、和賀井氏は語る。

インシデント管理は、ITサービスの障害などの事態に対して、その発生から対策、解決までの一連の流れを管理し、コントロールする。また、問題管理はそうしたインシデントにおける問題点を識別するとともに原因を特定し、インシデントの再発防止に努める。その対策としてシステムやプログラムの変更を行うことがある。そのためには、変更要因と本番環境のシステムの修正箇所を厳密につき合わせることが可能となっていなければならない。

このようにインシデント管理、問題管理、変更管理、システムリリースといった業務プロセスは、一連の流れと連携の中で考えていく必要があるわけだ。しかしながら、同社においてはITシステム間で異なる業務プロセスによる運用がされており、また、開発部門と運用部門でそれぞれに使いやすい管理体系やツールを用いていたため、システムリリースまでの一貫性が見えにくくなっていた。

こうしたITシステムの問題点をひとつひとつ取り上げながら、同社は2007年4月から約半年をかけ、ITシステム運用管理の体系をあるべき姿へと改善すべく、業務プロセスの見直しと整備を実施した。

「ここでの大前提となるのは、20年前に構築した古いシステムであろうが、構築したばかりの最新システムであろうが、同じ業務プロセスに基づく運用管理の仕組みを整えていくこと。その上で、合理化や自動化できる部分などの検討を重ねながら、より効率的な運用管理を実現していくために業務プロセスの改善に取り組んできました」と和賀井氏は語る。

業務プロセスを実装・運用する基盤としてHP ServiceCenter softwareを導入

共通化されたあるべき姿の業務プロセスをITシステムに実装していくための基盤ソフトウェアとして同社が採用したのが、HPのHP ServiceCenter softwareである。

同ソフトウェアは、ITサポート業務のプロセスに沿った下記のような基本モジュールを提供するとともに、中心に位置する構成管理データベース（CMDB：Configuration Management Database）によって、各プロセスで必要とされる情報を一元管理するスイート製品である。

• サービスデスク：情報システム局内の受付窓口の提供
• インシデント管理：通常サービス回復のための各種機能
• 問題管理：根本的な原因を区分して管理
• 変更管理：ITシステムの変更内容および変更手順を管理
• 構成管理：構成アイテムの管理
• サービスレベル管理：SLAの定義と達成状況の把握

これらのモジュールの中から、同社はサービスデスク、インシデント管理、問題管理、変更管理を導入している。

「IT全般統制に関する我々の考え方を、実際の業務プロセスへ具現化していくにあたって現状把握から計画立案、業務プロセスの見直しと文書化を推進してきました。その取り組み全般をサポートしてくれたHPのコンサルタントから、ITサービス管理ツールとしてHP ServiceCenter software の提案を受け、導入を決定しました」と和賀井氏は語る。

同社は、IT全般統制のためのプロセス改善と並行する形で、2007年7月よりHP ServiceCenter softwareの実装を開始し、わずか4ヵ月後の10月末には作業を完了。その後の2ヵ月間をかけて、運用の定着を図ってきた。

業務プロセスの実装は、まずインシデント管理を実装し、続いて問題管理、変更管理という具合に、ステップを踏みながら段階的に実装を進めていくケースが多い。業務プロセスが一気に変わってしまうと、現場に大きな混乱が生じる恐れがあるからだ。

同社はそうではなく、上記のプロセスにリリース管理などを加えたすべての業務プロセスを一気に実装することにより、短期間で作業を終えたのである。

「日本版SOX 法の適用が始まる2008年4月1日から逆算すると、どうしても2007年内に業務プロセスの実装を終えておく必要がありました」と伊藤氏は事情を語るが、それにしても驚異的なスピードだ。おそらく相当な困難がともなったであろうと想像するに難くない。それをいかに成し遂げたのか、和賀井氏は成功要因を次のように説明する。

「何事にもタイミングがあるというのが、我々の考え方です。今回のIT全般統制に臨むにあたって、我々は『この機会を逃すな』という合言葉を掲げました。段階的に業務プロセスを実装したほうが確実かもしれませんが、現場のスタッフたちのモチベーションの問題もあり、例えば来年に繰り越してもやり遂げられるかどうかはわかりません。情報システム局では、日本版SOX 法の施行が迫り、内部統制対応への機運が全社的に高まっているいまこそ、IT運用の標準化を一気に推進しようと考えました。成功の要因を挙げるとすれば、そうした勢いにあったのではないかと思います。もちろん、毎週の会議などでも我々をリードし、IT全般統制への総意を盛り上げてくれたHPのコンサルタントにも感謝しています」

また和賀井氏は、同社と同様にIT全般統制に取り組もうとする企業に向けて、次のようにアドバイスする。

「多くの業務プロセスを一気に実装したことついて、確かに苦労はありましたが、思ったほど現場に混乱はなかったのも事実です。それは、我々はもともとITシステムの開発担当者と運用担当者を職務分掌の観点から明確に分けるなど、IT全般統制に対するバックグラウンドがあったからではないかと考えています。日本版SOX 法が施行されようがされまいが、どの企業もそれ以前から何らかの考えをもってITシステム運用管理に臨んできたはずです。その中で培ってきた自分たちの強みを活かすことで、IT全般統制もスムーズに実現できるのではないでしょうか」

また、基盤として活用してきたHP ServiceCenter softwareについても同社は高く評価しており、「仮に業務プロセスの実装をすべて手作業で行っていたとしたら、おそらく予定していた期限でIT全般統制を構築し、監査に対応するのは無理だったでしょう。HP ServiceCenter software を導入することで、効率的に作業を進めることができました」と伊藤氏は語る。

こうして整備されたIT全般統制の環境を土台として、同社はITシステム運用管理に関するさまざまな業務プロセスのさらなる効率化や自動化、ITサービス品質の向上などを推進していく考えだ。