IPO準備会社におけるIT全般統制(障害管理)の留意点

最近多くのIPO準備会社のIT全般統制の構築支援を行っています。そのなかで話題に上がったトピックや必要な統制上の留意点について、これから整備を進める他社の参考になればと思い筆を取りました。今回のテーマは、障害管理についてです。

障害管理は、(1)体制整備、(2)障害報告書による報告・承認、(3)再発防止策の検討の3点が重要と考えます。なお、以下の意見は、筆者個人の意見であり、当社の正式な見解と異なる可能性がありますので、あらかじめご了承ください。

(1)体制整備

体制整備とは、障害発生に備えて、どの部署の誰が対応するか、障害発生時のルールや手順、障害検知の方法などをあらかじめ定めておくことです。具体的には、<1>障害発生時の体制、<2>障害対応手順、<3>エスカレーション手順、<4>発生した障害を即座に検知・識別する仕組み、<5>障害管理台帳を整備することになります。
<1>は、障害の規模や影響度に応じて柔軟に対応できるフレキシブルな体制とするのが望ましいです。
<2>は、想定される各障害の内容に応じて、連絡、応急処置、本処理などの一連の項目について手順を定めることが望ましいです。
<3>は、障害の規模や影響度に応じて必要な情報が適時・的確に責任者に報告される必要があります。また、顧客に影響を及ぼすような重大な問題や、セキュリティ上またはコンプライアンス上の重大な問題については、経営陣への報告が適時に行われる必要があります。
<4>は、多くはシステムによるアラート、社内外のユーザーやシステム運用部門などからの連絡、SaaS事業者からのメール連絡などから、検知・識別することになります。
<5>により、把握した障害を項番管理し、記録することで、漏れずに対応を行うことが可能となります。

(2)障害報告書による報告・承認

実際に障害が発生した時には、速やかに障害に対応することはもちろんですが、最終的には、障害報告書を作成し、上記体制整備のなかで定めたエスカレーション手順に則り、経営陣などの承認を受ける必要があります。受領した障害報告書は、適切に保管する必要があります。外部に対して自社のシステムの状況を報告する場合の根拠にもなるためです。
また、SaaSなどの外部委託先で障害が発生した場合には、自社で何ら障害対応を行う必要はないと考える方がいるかもしれませんが、この障害報告書による報告・承認は必要な統制であると考えます。SaaSで障害が起きた時に委託先のシステム管理の妥当性を検証し、必要に応じてエスカレーションしなければならないからです。

(3)再発防止策の検討

最後に、発生した障害の原因を究明し、行った対応が適切であったかどうか、特定のシステムに障害が集中していないか、同様の障害が発生していないか、作業に従事する方のスキルは適切であったかなどを考慮のうえ、再発防止策を検討することになります。