- 会員限定
- 2007/12/10 掲載
統合マネジメントシステム「PAS99」とは何か:ソフトバンクテレコム尾崎氏
ITエンジニアも知っておきたいちょっとハードなトピック
製造業に携わる人であれば、ISO9001(品質マネジメントシステム)やISO14001(環境マネジメントシステム)などはご存じの方も多いだろう。ITエンジニアであればISMS(情報セキュリティマネジメントシステム)やITSMS(ITサービスマネジメントシステム)、ITIL(ITサービスのベストプラクティス)などの言葉を聞いたことがあるかもしれない。社内には各種マネジメントシステム規格が点在している状況だが、これを1つのガイドラインに統合してしまおうという動きがある。それがBSIの唱える「PAS99」だ。このPAS99とは何かについて、ソフトバンクテレコム CSR 推進部 兼 ソフトバンクBB モバイルネットワーク本部の尾崎雅彦氏が解説する。
日本版SOX法の施行
2007年9月30日に「金融商品取引法」が全面施行された。この法の一部である内部統制報告書作成の規定部分がいわゆる日本版SOX法と言われる部分である。昨年前半までは、「SOX法とは?」や「内部統制とは?」といった概念論で議論されることが多かったように見受けられるが、今は「どのように内部統制レポートを書くか」という実務論が注目されている。まずは内部統制のにおけるIT統制との関係図を図1に示しておこう。これを念頭に以下読み進めてもらいたい。
| 図1 セキュリティリスクマネジメントとIT統制の関係 |
|---|
 |
金融商品取引法が定める内部統制報告書では、同書内で重要な業務プロセスとそのプロセスに内在する重要なリスクが示すことが求められている。近年、ビジネス上のリスクというものが大きく注目されるようになったが、ビジネス上のリスクを情報公開したり、その説明責任を求められることは何も今に始まったことではない。しかしながら、ただ単に経営者がリスクを認識してそれを公表するというだけでは、そのリスクを防ぐ実効性が乏しい。これは昨今の企業不祥事などで経営者がリスクを本当の意味で認識していたとは言えないケースがあることからもわかる。そこで、経営者がリスクを認識しているということを担保するために、「プロセス管理」と「リスクアセスメント」が登場する。これが内部統制の重要な課題となる。
内部統制とマネジメントシステム
では実際に有効な内部統制を行うにはどうしたらいいのだろうか。IT全般統制に対する基準としては、ISO20000(ITサービス)(注1)やISO27001(情報セキュリティ)(注2)が注目されている。加えて、内部統制が要求するプロセス管理に対するツールとしてはISO9001(品質)が、内部統制上の環境影響についてはISO14001(環境)が有効である。
内部統制とは、端的に言うと「プロセスのコントロール」のことであり、経営者は、全社的な内部統制のアセスメント(評価)を踏まえて、その対象となるプロセスを分析し、財務報告の信頼性に重要な影響をおよぼす統制上のプライオリティを定め、そのプライオリティに対して内部統制の基本的な機能が健全に運用されているかを判断しなければならない。
合わせて、金融商品取引法では、いわゆる「IT統制」が重要なキーワードとなっている。IT統制の目的は、ITによる企業経営のサポート、ITに対する経営資源の投入を最適化することであり、ITに係るリスク管理を確実に行うことである。IT統制には、ITをコントロールするためのさまざまな仕組みを運用することが含まれる。たとえば適正に機能し続けるため、定期的に評価を実施し、フィードバックして改善に繋げるという一連の流れのことである。
こういった仕組みを運用していくために規格化されているものが、ISMS(情報セキュリティマネジメントシステム)やITSMS(ITサービスマネジメントシステム)、JIS Q 15001:2006(個人情報保護マネジメントシステム)などである。これらの規格化された仕組みの運用と、IT全般統制におけるITをコントロールするためのさまざまな仕組みの運用とは共通する部分が少なくない。
【次ページ】PAS99の登場
(注1) ISO20000
ITサービスマネジメントの国際規格。ITサービスのベストプラクティスとして発効されたITILを規格化した英国規格BS15000がベース。
(注2) ISO27001
情報セキュリティマネジメントシステム(ISMS)の国際規格。英国規格BS7799をベースとしている。
関連コンテンツ
関連タグ
タグをフォローすると最新情報が表示されます
あなたの投稿
PR
PR
PR
