CompTIA（コンプティア）は、IT業界団体としてワールドワイドでCompTIA認定資格などを通し、健全な人材の育成に貢献しています。

では、ITに関する統制活動に関して、ITサービスを提供する組織としてどのように取り組めば良いのか、具体的にどのような統制活動を行えば良いのか迷われている方々も少なくないはずです。このような悩みを解決する手段として今、ITサービスマネジメントが注目され始めています。

ここでITサービスマネジメントについて簡単にご説明しておきます。ITサービスマネジメントとは、ITサービスを提供する企業または組織が顧客ニーズとビジネス要求に合致したITサービスの提供を実現し、かつ、その品質の継続的な改善を実現するための仕組みを構築することです。
また、ITサービスマネジメントは、プロセスアプローチの採用を推奨し、ITサービスを効果的に提供するための枠組みであり、組織におけるITサービスマネジメントプロセスが効果的かどうかを評価するための仕組みでもあります。

ITILの個々のプロセス内容は特に解説しませんが、ITILの各プロセスの活動内容が企業の統制活動の4つの目的の実現に深く関与します。例えば、1つ目の目的である『業務の有効性及び効率性』は、そもそもITサービスマネジメントの目的と合致します。2つ目の目的である『財務報告の信頼性』を確保する手段として、ITサービスマネジメントのインシデント管理、問題管理、そして情報セキュリティ管理が深く関連します。そして3つ目の目的である『法令等の遵守』は、キャパシティ管理が活用できますし、4つ目の目的である『資産の保全』は、構成管理、変更管理、リリース管理が有効だと考えています。これらのプロセス以外にも、可用性管理やITサービス継続性管理などのプロセスも企業の統制活動と密接に関係し、その効果を発揮します。

一般的にITに対する内部統制活動のフレームワークとしてCOBIT（Control Objectives for Information and Technology）が広く知られていますが個人的意見として、COBITはITマネジメントの成熟度を評価する際に利用する評価指標としての色合いが強く、具体的な活動指針として採用することは少々難しいと考えています。ですからITに関する内部統制活動のフレームワーク構築の際には、ITILやISO/IEC20000といったITサービスマネジメントの採用を推奨しています。
なぜ、ITサービスマネジメントがITに関する内部統制活動に有効なのかは、ITILのサービスサポートとサービスデリバリーの書籍より各プロセスの役割をご理解いただければ、その理由が分かるはずです。