クラウドで内部統制が社外に 第三者による保証も有効

クラウド時代の「運用の常識」(第10回)

クラウド利用の課題の一つは、サービスの利用者(委託会社)と提供者(受託会社)の間で、いかに内部統制をうまく進めるかだ。委託会社は利用に関する内部統制を向上させる必要がある。一方、受託会社は受託業務の内部統制に関して、実行責任や説明責任の能力を向上させなければならない。

クラウドを機に内部統制を再確認

 クラウドを利用した際の、ITサービスを利用する委託会社、およびITサービスを提供する受託会社がそれぞれ行うべき内部統制の例を表4に示す。

表4●クラウド時代の委託者および受託者の統制の例



 委託会社は、まず自社のITガバナンスと整合性の取れたクラウド利用ガイドラインを作成し、クラウド利用をコントロール出来るような環境を構築する必要がある。

 受託会社は、ISO/IEC 20000(ITサービスマネジメントシステム規格)、ISO/IEC 27001(情報セキュリティマネジメントシステム規格)、COBIT、SOCレポートなどを参考にマネジメントシステムを構築し、実業務の中に内部統制の仕組みを組み入れて、統制されたサービスを提供可能にする。さらに、外部保証(SOCレポート)や認証(ISO/IEC 20000、ISO/IEC27001)を取得し委託会社に内部統制の有効性を報告できるようにすべきである。

 クラウドの利用では、ITサービスに対して委託会社と受託会社の役割と責任が明確になる。ユーザー企業は、クラウド利用を契機に自社の内部統制を再確認し、「利用する」ことに関するITガバナンス能力をより向上させていく必要がある。ITサービス事業者はITサービスの実行責任や説明責任の能力を向上させ、統制されたITサービスの提供を保証することが求められる。

(初出 日経コンピュータ 2011年04月28日号)

野村総合研究所 システムマネジメント事業本部
ITサービスマネジメント推進部

徳地 隆弘
SOX法対応のIT全般統制、ISO/IEC 20000対応のITサービスマネジメントシステムの
設計、構築、運営に携わる。企業のIT運営の企画、設計が専門。
ITIL V3エキスパート、CISA(公認情報システム監査人)、
CIA(公認内部監査人)、システムアナリスト資格を保有。itSMF Japan理事。
(著者プロフィールは執筆時のものです)

お問い合わせ

株式会社 野村総合研究所
クラウドサービス本部
TEL:03-6706-0331
E-mail:sysm-info@nri.co.jp

ページのトップへ