[第4回]
業務プロセスの標準化により、確実で効率のよいシステム変更管理を実現

IT全般統制の実施にあたっては、システムの変更管理も考慮に入れなければなりません。しかし、実際にシステム変更の申請・承認プロセスを策定し、実施している企業は、まだまだ多くはありません。そもそも、変更を依頼する文書がない、承認された証跡が残っていないという企業が多くを占めています。また、実施されていても、紙ベースでの申請・承認にとどまる企業がほとんど。代理の人が承認をするなど、不適切な処理があっても、紙ベースでは見つけることが困難です。富士通の「Systemwalker IT Process Master」は、ワークフローにより申請～承認にいたる業務プロセスを標準化することで不適切な承認を排除し、正しい手順でのシステム変更を確実に実現します。さらに、個々のシステム変更に関する情報を一元管理し、変更申請時の設計情報とシステム変更の結果を比較することが可能。変更漏れや作業ミスをシステム情報との照合で特定するので、正しく変更されたかどうかを簡単に確認することが可能です。

[キーワード] 内部統制、IT全般統制、システム変更管理、ワークフロー、業務プロセスの標準化

[2009年2月9日掲載]

システム変更の課題

内部統制では、財務・会計プログラムに関するシステム変更に関して、適切な承認手続きを経て、確実に変更作業が行われたことを証明することが求められます。

しかし、現在システム変更管理ができている企業は少数です。実現できていても、紙での申請・承認がほとんどです。このように情報を紙で管理し、目視で確認していては、変更結果の確認や履歴の管理など、統制上重要な作業を効率的に行うことができません。

以下に課題を整理してみます。

【課題1】職務の分離と適切な承認処理が管理できていない

申請から承認にいたるプロセスが規定されていないことはもちろんのこと、担当者の判断でシステム変更が行われてしまうことは、変更管理がきちんとできているとは言えません。また、プロセスを規定していても、紙による申請・承認では、ルール違反の代理承認や申請者と承認者が同じといった不適切な決裁を回避できません。さらに、紙の回覧では、申請された案件処理が停滞していても、どこで止まっているかを確認することが困難です。

【課題2】変更結果の確認が困難

システムを変更した際、作業担当者による作業報告書は多くの企業で作成しているでしょう。この作業報告書と作業前の申請書と突き合わせて、整合性がとれているかまでは確認しているかもしれませんが、その作業報告書通りに「システムにきちんと反映されたか？」をシステム情報から確認ができているでしょうか。システムが正しく変更されたことが確認できなければ、作業報告書の記入にミスや不正があった場合、システムへの悪影響を防ぐことができません。

【課題3】情報が散在し、事後の確認や監査に対応できない

システム変更には、設計情報、承認履歴、変更の定義ファイルなど、さまざまな情報が関係します。これらをそれぞれ紙などで別々に保存していては、後日確認をする際に情報をそろえるだけでも大変で、監査時の対応にも支障をきたしてしまいます。

本稿ではこれらの課題について、アプリケーションや業務運用定義などの変更をテスト環境から本番環境への移行する場合を例に取ってご説明します。

Systemwalker IT Process Masterが実現する、
プロセスの標準化と確実な変更管理

Systemwalker IT Process Masterは、上記の課題を解決し、ワークフローによる統制されたプロセスで、変更モジュールをテスト環境から本番環境に移行。移行結果を自動判定することで効率よく確実な統制を実現します。

【図1 : あるべきシステム変更管理プロセス】

運用サービス管理:
Systemwalker IT Process Master
ジョブ管理:
Systemwalker Operation Manager

ページの先頭へ

では、課題1から順に解決のポイントをご紹介していきましょう。

システム化されたワークフローで、手続きの正当性を保障

【課題1】職務の分離と適切な承認処理が管理できていない

内部統制では、システム変更を行う際、適切なプロセスで実施することを求めています。すなわち、以下のようなルールに従ってプロセスが実施される必要があります。

開発担当者と本番環境のプログラムを更新する担当者が同一でないこと
すべての作業は申請者・実施者と異なる承認者が承認してから行われること

これらを実現するためには、ワークフローによるシステム化が有効です。

Systemwalker IT Process Masterは、ワークフローで変更プロセスを標準化することが可能。あらかじめ標準化されたプロセスにしたがって、変更の申請を電子伝票として回送していくことで、規定に則って申請、承認、作業のプロセスを実施することができます。これにより、各人の役割と責任を明確にでき、自動化によって人為的なミスや不正を防ぐことができるので、手続きの正当性を保障することができます。

【図2 : ワークフローにより作業プロセスを規定】

また、Systemwalker IT Process Masterは、電子伝票の履歴を確認することで申請された案件の進捗状況を把握できるので、プロセスがどこまで進んだか、どこで滞っているかなどが一目瞭然（りょうぜん）でわかります。従来のように、止まった申請書を求めて、関係者の机を探し歩く必要もなく、迅速な対応が可能です。

加えて、承認する際に必要な添付書類なども申請伝票に添付できるので、判断に必要な情報をまとめて確認することが可能です。これにより、承認者は、迅速かつ正確に判断することができます。

設計情報と作業結果を自動的に比較し、問題箇所を特定

【課題2】変更結果の確認が困難

内部統制上、システムが正しく変更されたことを確認することは重要です。とはいえ、修正されたライブラリや関連モジュールなどを含む全プログラムをすべて目視で確認することは、かなりの作業負担となります。

Systemwalker IT Process Masterは、設計情報と作業結果としてのシステム情報を自動的に比較することができます。万一設計情報と作業結果が異なっていると、自動的にチェックして一目でわかるよう反転表示するので、問題の箇所をすぐに特定できます。

これにより、すべてのプログラムが正しく本番環境に移行されたかどうかを、容易に確認することが可能です。

【図3 : 作業後には、設計情報と実態情報を比較表示】

ページの先頭へ

情報の一元管理により、確認や監査にも迅速に対応

【課題3】情報が散在し、事後の確認や監査に対応できない

システム変更には、設計情報、承認履歴、各種添付ファイルなど、さまざまな書類が関係するため、情報の一元管理は、統制には欠かせません。たとえば、後日履歴を確認する際、情報が紙で散在していては、資料を集めるだけで、かなりの手間がかかってしまいます。

Systemwalker IT Process Masterは、作業履歴を電子化して一元管理。「いつ」「誰が」「どのような変更」を申請/承認したという履歴情報から、設計情報などの添付ファイルの添付日時や添付ファイル自体の内容までを、承認履歴画面などから容易に確認することが可能です。また、点検や報告のために、変更履歴をCSV形式で出力することもできます。これにより、事後の確認や監査の際には、必要に応じて作業履歴を検索し、その変更に関するすべての情報確認を、簡単に実現できます。

【図4 : 情報の一元管理により、承認履歴や添付ファイルも簡単に閲覧可能】

Systemwalker IT Process Masterは、Systemwalkerファミリ製品と連携して変更作業の自動化も行うことができます。前回ご紹介したジョブ管理製品「Systemwalker Operation Manager」と連携することで、承認後にジョブネット定義やスケジュール定義を自動的に入れ替えることも可能。業務スケジュールや定義の変更など、手動での入れ替えで操作ミスが懸念される作業を確実かつ効率的に実施することができます。

今回は、プロセスの標準化によって統制を実現するシステム変更管理を、Systemwalkerのソリューションとしてご紹介しました。次回は、内部統制におけるIT資産管理の課題と解決策をご紹介します。

ページの先頭へ