内部統制対応 情報システム管理規程 策定支援

依頼主：大手企業グループの情報システム子会社 内容　：スポットコンサルティング テーマ：内部統制対応 情報システム管理規程 策定支援

　先だって情報セキュリティ関連規程の策定支援の依頼をいただいた、東証1部上場企業を含む企業グループの情報システム子会社からの引き続きのオーダーで、企業グループ全体を対象とする内部統制（J-SOX）対応のための規定文書類整備を支援するスポットコンサルティングを行いました。
　今回のミッションとしては、規程文書類の中でも中心的な位置にある情報システム管理に関係するものについてレビューし、問題点の指摘と改善策の提示をするというものでした。今回のレビュー対象文書は、経済産業省のシステム管理基準、COBIT、そしてITSMS（ITIL, ISO20000）の内容をベースに、統合的な情報システム管理の枠組みを構築するという、なかなかに壮大なプロジェクトの成果物であり、私としてはその全体整合とブラッシュアップを直接的に支援する役割を担いました。

　今回のミッションはITSMS（ISO20000）の認証取得ではなく、あくまでも内部統制のための情報システム管理の枠組みを明確化するというものですので、レビューにおいても規格要求事項や各ガイドラインに対する適合性や網羅性が第一義ではなく、実際の業務管理の納得性や効率性が重要であることは明らかでした。さらに、内部統制のためのRCM（リスクコントロールマトリクス）をはじめ、スコープに入る文書のボリュームがかなりのものになり、その上それらの元ネタとなっている基準やガイドラインが多数に上るということで、かなりヘビーな仕事となりました。
　それでも、各基準やガイドラインの「いいとこ取り」をするようなつもりで情報システム管理の仕組みを作り上げて行く過程は仕事として面白く、勉強にもなりましたし、良い刺激にもなりました。あとは、様々な事情が与件として存在する大所帯の企業グループにおいて、生み出された管理の枠組みがどこまで有効に機能するものなのか、実際の運用の様子を確認してみたいと思います。