福本　治
株式会社野村総合研究所
上級システムエンジニア

日本版SOX法と通称されている、金融商品取引法の財務報告に係る内部統制に係る部分については、2008年4月1日以降に開始する事業年度から適用が開始される。

内部統制の対応の中では、ITに関する統制も提唱されており、「(1)ＩＴ全社的統制」、「(2)ＩＴ業務処理統制」、「(3)　ＩＴ全般統制」の３つに分類し、定義されている。現在の企業活動において、ITは非常に広範囲の業務で活用されており、内部統制の立のために、業務部門のみならず、IT部門も多くの力を割いて対応している状態である。

プレッシャーとの闘い

内部統制そのもの内容については、既に多くの情報が流通しているので、ここで多くを説明することはしないが、その対応のためにIT部門が強いプレッシャーを受けているのは間違いの無いところである。日々、コンサルタントや監査担当からの要望と業務部からの要求の板ばさみになり、こんな気持ちに苛まされながら、多忙な毎日を送っている方も多いことだろう。

●「面倒くさい」

●「何の役にたつのかわからない」

●「しょうがないから・・やらされている」

当記事では、筆者の経験したPC運用の改善活動が、内部統制の確立のために必要なプロセスと非常に類似していた、という事実について説明する。運用改善を行えば内部統制に役立てることができる、内部統制を意識すれば運用改善につながるという相互関係が見られたのである。

何に貢献するか？

そもそもPC運用の改善と聞いてピンと来ない方も多くいるであろう。PCの運用はサーバやネットワークの運用と比較して、なかなか課題が表面化せず、運用の改善が具体的、継続的な活動にならない場合も多く見られる。しかし、運用規模が大きくなればなるにつれ、ちょっとした改善の試みが台数にかけあわされて、レバレッジの効いた効果的な改善につなげることができるようになる（連載第2回参照）。

1台あたり、100円、1,000円の保守費用削減が大きなコスト低減を生み、インストール手順の少しの改善が全社員の満足度を上げることにつながってくる。ただし、その逆もまた真であることを考えれば、PC運用をミクロの目で分析し、改善努力をつなげることは必須の作業であり、IT運用のコスト削減、品質向上に大きな貢献をすることができる機会を持っていることがわかるであろう。

内部統制と運用改善の相似性

図は、内部統制の基本要素として知られるCOSOフレームワークの基本要素と、実際に行った運用改善のアプローチとをマッピングしたものである。

実際にこの改善活動を行なった際は、まだ日本版SOX法に関する情報が充分ではなく、もちろん内部統制を意識したわけではなかったが、活動の内容を整理してみると、ぴったりとマッチングしていた

実際の進め方

これらの活動は、上図で示すところの上と下からサンドイッチ状に進めていくことになる。

１）改善のゴールを定める

運用をどこのレベルまで持っていくことをゴールとするのか、これを定量的に見定める。KPIを決め、その管理手法と管理体制を定めていく。ここで決定したことが、改善活動の基本方針となり、改善後の運用のグランドデザインの基礎となる。

２）現状を確認する

現在の運用がどのような状況にあり、課題となる事項は何なのかを整理する。この工程を厳密に行えば行うほど、数多くの課題や解決策が導出される。ただし、すべての方策を行うことは、予算やスケジュールの制約から実現しないことが多いと思われる。そのため、１）で定めた目標と照合し、改善タスクの優先度付けをすることで、現実的な改善計画を立案する。

３）改善の具体的な活動を行う

立案した計画に則り、業務フローの見直しや支援ツールの実装などを行う。

４）改善後の運用を開始する

改善活動の区切りがついたら、実際に運用を変更し、新しい業務を開始する。一定期間、改善効果を測定・観察し、再度１）のプロセスに戻るようにする。俗に言うPDCAのルーチンに入っていくことになる。

プレッシャーを力に変えて

これまで説明したような活動を行うのは簡単ではない。PCはほとんどすべての社員が利用するものなので、旧来の慣習・組織の壁・付き合いが邪魔をし、そして数多くのステークホルダが関連してくる。本当に効果的な改善を行うためには、机上のアイデアや支援ツール導入だけではままならず、会社全体のしくみを変革する力が必要となる。

そのためにも、現在の内部統制の動きは改善を行うチャンスであり、プレッシャーを力に変えてブレークスルーに向かう好機である、と捉えることができるのではないだろうか。