CompTIA(コンプティア)は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。


 
情報サービスマネジメント下における人材育成とは
第3回コラム:「内部統制と人材育成」〜内部統制導入時に忘れられがちな人材育成〜

筆者紹介:
有限会社bitlingua 取締役社長 佐藤謙二氏
ITコーディネータ(ICTコンサルタント)。有限会社bitlingua取締役社長。
経営情報学会会員。日本大学商学部非常勤講師。
日本DEC、ソロモンブラザーズ、ドイチェ・モルガン・グレンフェルなどの外資系企業でSE、インターナル・オーディター、ITマネジャーとして勤務。2003年にICTコンサルタントとして独立し、経営情報システム導入・運用およびIT人材育成のコンサルティングを専門として活動。企業在職時からIT人材育成に際してCompTIAの有効性に注目し、現在はCompTIAベースのリテラシー教育やCDIA+トレーニングの提供も行っている。CDIA+、Security+、Server+、Network+、i-Net+、A+認定スペシャリスト。


有限会社bitlingua 取締役社長 佐藤謙二氏

 

「金融商品取引法案」が国会で成立し内部統制導入についての検討があらゆる企業にとってより現実味を帯びて来ました。法制度上は上場企業に導入が限定されるものの、非上場企業にとっても取引先企業や企業グループ内での要請によって上場企業に準じた内部統制の必要性が生じる可能性が高いと思われます。個人情報保護法施行時においても個人情報取扱事業者に該当しない企業規模であるにもかかわらず、発注元の企業からプライバシーマークの取得を強く要請された事例を聞いています。業務プロセスやワークフローが相互に密接に連携している企業間では、取引先企業の内部統制の不徹底が自社のいわゆる「セキュリティホール」となり得ますから、内部統制の導入の判断を上場非上場という一点で簡単には結論付けられないことになります。

また、今の段階で誰のため何のための内部統制なのかについてもう一度省みておく必要もあります。投資家の利益保護のためなのか、より広範にステークホルダーも含めて考慮するのか、ただ単に法令遵守が最優先なのかによって内部統制の実装方法が異なるでしょう。日本では、米国と違って「ダイレクトレポーティング(監査人の独自チェックによる直接報告業務)」は内部統制の実施基準に導入されないようですが、企業経営者側に遵法性の欠如した暴走があった場合に、これで本当に投資家の利益を守りきれるのか議論の残るところです。一方、日本の企業には、取引先企業や社員や地域社会を含めたより広範な利害関係者を念頭に置いた経営を是とする傾向にありますから、経営者にとってはステークホルダーの利益を優先した内部統制の実装がより受け入れ易いかもしれません。
それでは、誰のため何のためを決めた後には何をどうすれば良いのでしょうか。内部統制の導入に際して先ず行うべきは、業務プロセスやワークフローの可視化であるといわれています。可視化とは具体的には既存の業務プロセスやワークフローのドキュメント化を意味します。ドキュメント化することにより、既存の業務プロセスやワークフローに内在するリスクを特定し明確化することが可能となります。さらに必要があればこの可視化作業によって既存の業務プロセスやワークフローの改善も可能になります。特定されたリスクにたいしては対応策を策定しコントロール機能として業務プロセスやワークフロー内部に組み込みます。この可視化作業は高価なシステムツールを用いなくても実行が可能です。業務プロセスやワークフローの可視化作業を行うに当たり有効なツールの一例として、DFD(Data Flow Diagram:データ・フロー・ダイアグラム)の作成が挙げられます。DFDは、プロセス間のデータの流れを矢印で繋いだ図表ですが、表記が単純なために手書きも可能で、フローチャートのようなアルゴリズムの概念を内包しないため、システムの専門家でなくても理解が容易です。PC用のドローイングツールがあれば、低コストでのドキュメントの電子化も可能です。

さらに内部統制導入のためのもう一つの有効なツールのショーケースとしてCompTIAのCDIA+(Certified Document Imaging Architec +)を紹介します。CDIA+は、CompTIAの資格試験の一つで、ドキュメントイメージング,マネージメントソリューションの提案、運用などの能力を保持するドキュメントソリューションプロフェッショナルを認定していますが、この試験ではビジネス分析の方法論と必要なツールの明確化、個々の業務・プロセス・プロセスオーナー・ユーザとプロセスのインタラクション・外部からの影響などの現行のビジネスプロセスの検証、 ワークフロールールの確定、企業ビジョンやミッション・目標・ビジネスの特性の明確化などの方法論の理解や具体的なスキルの有無が問われます。これらの方法論やスキルは、ドキュメント管理システムなどの導入プロジェクトで必須となるものですが、同時に内部統制における業務プロセスやワークフローの可視化においても十分に効力を発揮し得るものでもあります。また、内部統制においては証憑類を始めとする各種ドキュメントを有効に管理利用して行くことが必要となりますが、CDIA+の認定時に問われる方法論やスキルがまさにこの要求を満たしており、内部統制導入に際して一考に価するツールであると評価しています。

最後に内部統制導入時の人材育成について考えてみます。内部統制のフレームワーク導入に関しましては、各種出版物でもネット上でも様々な議論が展開され大いに参考にするところがありますが、それでは一体どのような人材が内部統制を導入・実装・運用する上で必要になるかというと、それについてはいまだ漠然としていて具体的な指針や方法論に言及したものを見聞きしていない状況にあります。ただ、末端の現場レベルの社員まで内部統制のコンセプトやプロセスの取り扱い方が浸透して初めて内部統制が完全に機能する訳ですから、企業においては内部統制を支えて行く人材の裾野を広げる努力が不可避であることを誰も否定はしないでしょう。業務プロセスやワークフローの可視化にとってはCDIA+で認定されたスキルが有効であることを説明しましたが、リスク分析やリスク・コントロールに関しては、同じくCompTIAのSecurity+レベルのスキルが役に立つものと考えられます。ただ、ここでの人材育成で注目すべき点は、資格取得テクニックに特化した受験勉強による研修形態でのCDIA+やSecurity+の認定取得では、現場での実効性がないということです。例えば、CDIA+やSecurity+の問題集を社員に配りペーパベースの勉強のみを実行させて資格認定を受けても、実地での経験を伴わない場合は企業側が期待するリターンが全く得られないことに注意する必要があります。CompTIAのWebサイトでは、資格ごとに必要とされる実務経験の具体的な期間が明示されていますが、この実務経験の期間を通して獲得した知識や技能を判定するスキル・アセスメント・ツールとしてCompTIAを利用する場合に大きな効果が期待できることを一事例として挙げて置きます。現場での日々の仕事を通して獲得した経験知を社員が自ら体系化し、その結果として受験準備なしでも資格試験にパスすることが最も好ましいCompTIAの利用方法と考えていますが(各種教材を使用しての経験知の体系化の効率化・短縮化を否定はしません)、CompTIAの試験問題もそのようなスタンスで作成されているのではないかという印象を受けています。人材育成にはそれなりのリードタイムを必要とし内部統制の導入の成否が掛かっていますから、各企業においては最優先で人材育成に着手することが望ましいでしょう。

 
次回掲載 : 8月下旬掲載予定

第4回コラム:「統制環境下におけるIT全般統制とITサービスマネジメントの関係」
   株式会社 IPイノベーションズ ITナレッジソリューション事業部
    事業部長 黒崎 寛之 氏
某アウトソーシング企業にてデーターセンター運営責任者、ITアウトソーシング事業責任者を経て、 現在は蟹Pイノベーションズにて、システム運用設計、ITIL実装、ISO/IEC20000認証取得に関する
シニアコンサルタントとして活動中。
またコンサルティグの中で顧客企業のITサービスマネジメント活動を担う人材の育成教育の講師なども担当。
 


 

 



 
 
 

 

 

 
 

 
 
 資料・パンフレットダウンロード
 CompTIAライブラリー
 

 


 
 

 

CompTIA Japan Instagram

  友だち追加数
 


CompTIA 日本支局 住所:〒101-0061 東京都千代田区三崎町3-4-9 水道橋MSビル7F TEL:03-5226-5345 FAX:03-5226-0970