ノウハウを知ることで既存の資産はもっと活用できる!
わたしはこれまで、全国の中小企業での多くのIT活用事例を見てきたが、時折「ムダ」なIT投資に遭遇することがあった。
ハードウェアおよびソフトウェアに投資をすると、それで安心してしまい、使いこなすことができない。ノウハウには投資しようとしない。そのため、IT内部統制に応用できる機能を知らない。そして、使いこなせないまま、別のIT製品への投資を繰り返してしまう。
米ソの宇宙開発の考え方の違いを表す、こんなジョークがある。
「NASAの宇宙飛行士は、無重力状態でボールペンが使えないことを発見した。そこで、数百万ドルをかけて宇宙で使えるボールペンを開発した。一方、ソ連では、鉛筆を使っていた……」
解釈にはいろいろあるだろうが、「宇宙で字を書く」という問題を解決するには、鉛筆を使えば十分だったということだ。
本連載でも、目標達成のために「安価な鉛筆」を使う方法をとる。つまり、「できるだけお金をかけずに、あなたの会社がすでに投資したIT機器を使って、IT内部統制の要件に対応するための設定を考えていく」ことがテーマとなる。
ここでは、多くの組織で現在使われている「Windows Server 2003」と「Windows XP Professional」(部分的に「Windows Vista Business Edition」)を使う。これらの持つ機能をベースに、内部統制に必要な制限や監査を行いつつ、積極的に社内のPC資産を使っていくための方法を考えたい。
なお、本連載では2007年3月30日に経済産業省が発表した「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」 を参考に、会社が自らの手で行う自主基準としてのIT内部統制に必要な仕組みと、それを実現するための具体的な設定作業までを紹介していく。
本連載が有効に活用できるのはこんな人
本連載は、次のような状況で特に有効に活用できるように進めていく。
- 従業員数が50名程度の受託を中心にビジネスを展開する組織が、自主基準のために使いたい。
- パソコンに詳しいという理由だけで、暗黙のうちにIT系の管理を任されてしまった「にわか管理者」が、通常業務の合間にIT内部統制について学ぶための平易な参考資料として利用したい。
- IT内部統制の担当者が、上司(経営陣)に説明するための、具体例を示した参考資料がほしい。
- 上司(経営陣)として、IT内部統制の担当者に具体的な作業指示をするためのガイドラインがほしい。
- 取引先に、自社のIT内部統制への取り組み指針を説明する参考資料が欲しい。
- システム管理者が自分の力で設定を行うためのテキストが欲しい。
「IT」と「経営」の世界では、同じ日本語を使っていても、「言葉」が通じにくいという状況がしばしば起こる。 たとえば、 IT担当者は「リードオンリーのファイルアクセス権の設定方針について」という話し方をするが、経営者は「コンピュータに入っている財務報告を読めるのは、だれとだれか?」という表現をする。本質的には同じことについて話しているはずなのに、この言葉の違いからコミュニケーションミスが生まれるケースも多々ある。 そこで、本稿は両者の共通言語として使えるものになることを目指す。
また、ウェブサイトを作っている会社の多くは、個人情報保護法の関係でプライバシーポリシーを提示している。 この連載では、同様にIT内部統制についても、自社の取り組みをウェブや取引先などに明示する際の参考資料として使えるものになることを目指す。
上記のIT内部統制の仕組みを、システム管理者が自分の力で設定できるように、なるべく詳細な手順を紹介していく。
なお、法律そのものの解説については、ウェブや書籍、セミナーなどで多数発表されているので、本稿では詳しく扱わない。
筆者紹介
木村 尚義(きむら なおよし)
木村PC活用研究所代表 マイクロソフト MCT/MCSE/MCA
ソフトハウスでSE、OA機器販売会社で提案営業、独立系教育専門会社を経て、事例専門ポータルをプロデュース。講師としての実績が高く、マイクロソフト系のセミナーを全国で実施している。実践経験を教育、執筆活動に生かし、カンによる経営から、科学的な経営に変革するためITの有効活用を研究。現在、経営者の視点から、従業員数50名程度の事業主に向けて、ITの効果測定方法を提言中。