前回は、内部統制とITサービスマネジメントの関係についてお話しましたが、今回は内部統制における運用の重要性について触れたいと思います。
そもそも内部統制とは、「業務を適切に遂行し、適正な運営」を行っていることが、「誰にでもわかる仕組み」として構築され、運用されなければなりません。そして、こうした活動が日々改善され、企業が健全に成長できるよう整備されることに内部統制の本質的な目的があると私は考えています。
しかし、残念なことに現状の統制活動構築の実態と本来の目的とはかなりのギャップがあり、統制活動が企業価値の向上には直接的に結びついていないという風潮が根強く、結果、統制活動の本質を見失い、「統制活動は企業としての義務を果たすためのものである」という誤った解釈をしている企業のトップマネジメントも少なくないはずです。
内部統制対策というと文書化(業務記述書、業務フロー図、業務手順書、リスクコントロールマトリクスなど)やツール(ERPやセキュリティ対策)導入など業務処理に係る統制活動ばかりに注目してしまい、そもそも企業価値向上に結びつけるための活動、すなわち実際に統制活動を運用していくためのプロセス定義や統制活動そのものを改善していくための有効性評価の仕組みの構築が考慮されていないことに問題があると考えています。
統制活動の本質的な目的を満たすためには、運用プロセスをしっかりと定義し、その設計段階と活動結果の有効性をそれぞれ評価し、改善のためのインプット情報としていくことが重要なのです。加えて、その運用プロセスを担当する人材の育成と業務への浸透も忘れてはいけません。この1つの手段としてITに関する統制活動においては前回もお話した通り、ITILの個々のプロセス適用、すなわちITサービスマネジメントの導入が有効なのです。
ITサービスマネジメントの象徴的なフレームワークであるITILには2つの特徴があり、ひとつ目の特徴は「プロセスアプローチ」です。プロセスという単位で日本企業の伝統的文化である縦割り組織を組織横断的に管理し、プロセスごとに役割と責任を明確にしています。当然、個々のプロセス間のインターフェースを明確にする必要はありますが、プロセスアプローチを組織の大小に関わらず適用することが可能となり、また組織ごとの活動も均一化することができます。
もうひとつの特徴は「ベストプラクティス」であるということです。あまり聞きなれない言葉かもしれませんが、ベストプラクティスを直訳すると「最も良い事例」となり、前述の通り、既に適用され効果があったものと考えるべきでしょう。すなわち、ベストプラクティスは、自分の組織または企業の運用プロセスと比較し評価や改善に役立てること、また、これから運用プロセスを構築する組織の参考として活用することが可能となるわけです。
|