ITILの個々のプロセス内容は特に解説しませんが、ITILの各プロセスの活動内容が企業の統制活動の4つの目的の実現に深く関与します。例えば、1つ目の目的である『業務の有効性及び効率性』は、そもそもITサービスマネジメントの目的と合致します。2つ目の目的である『財務報告の信頼性』を確保する手段として、ITサービスマネジメントのインシデント管理、問題管理、そして情報セキュリティ管理が深く関連します。そして3つ目の目的である『法令等の遵守』は、キャパシティ管理が活用できますし、4つ目の目的である『資産の保全』は、構成管理、変更管理、リリース管理が有効だと考えています。これらのプロセス以外にも、可用性管理やITサービス継続性管理などのプロセスも企業の統制活動と密接に関係し、その効果を発揮します。
一般的にITに対する内部統制活動のフレームワークとしてCOBIT(Control Objectives for Information
and Technology)が広く知られていますが個人的意見として、COBITはITマネジメントの成熟度を評価する際に利用する評価指標としての色合いが強く、具体的な活動指針として採用することは少々難しいと考えています。ですからITに関する内部統制活動のフレームワーク構築の際には、ITILやISO/IEC20000といったITサービスマネジメントの採用を推奨しています。
なぜ、ITサービスマネジメントがITに関する内部統制活動に有効なのかは、ITILのサービスサポートとサービスデリバリーの書籍より各プロセスの役割をご理解いただければ、その理由が分かるはずです。
|