情報システム開発業におけるガバナンス・統制評価

掲載日:2014年06月13日 (金)

サービス種別:システム診断

企業規模: 社員数約1,400名、売上約450億円参考費用: 700万円

【依頼の背景】
 A社は大手電気製品メーカーの情報システム子会社として、親会社のITシステム構築・運用全般を担当していた。A社ではすでにISOやCMMIなどにも取り組んでいたが、適切なガバナンス・統制が働いているか不安な面があった。

 そこでA社は、自身のガバナンス・統制が実際に機能しているか、当社に第三者の視点から評価を依頼することとなった。

【現状の問題点(一部抜粋)】
資料の調査やヒアリングから、現在の主な問題点として以下の点などが挙がった。
・システムの変更・リリース担当者が同一であり、適切な統制ができていなかった。
・システム変更の情報が、構成情報(CMDB)に反映しきれていなかった。

【提案内容(一部抜粋)】
・変更とリリースの担当者の分離
・CMDBへの変更情報をもれなく更新するプロセスの構築

【担当コンサルタントのコメント】
 本件の評価においては、米国の情報システムコントロール協会(ISACA)などが提唱するITガバナンスの実践規範である COBIT を活用した。

 A社は既にISOやCMMIにも取り組んでおり、規定等の文書は充実していた。そこだけを見るとガバナンス・統制のレベルは高いように思えたが、実際には不備も見受けられた。

 ガバナンス・統制の整備を進めると、以下のような問題に直面することが多い。

<問題1>
 規定等を厳しくし過ぎてしまい、実務が伴わない。
<問題2>
 規定の内容に不備があり、ガバナンス・統制が効いていない。

 
 どのレベルを規定とすればよいか、頭の痛い問題である。残念ながらどの企業にも共通する回答はなく、実際には以下の点などを考慮してガバナンス・統制を整備する必要がある。

・どのようなビジネスをしているか
・どのような情報を取り扱っているか
・IT関連業務の担当部門のレベル、体制はどうか
・実際に守ることができる内容か