電子情報技術産業協会(JEITA)はこのほど、SLA(Service Level Agreement)を活用したITサービスリスクのコントロール方法についてまとめた報告書「ITサービス・リスクマネジメントとSLA」を発行した。ITサービスのアウトソーシング市場が拡大する中、サービスの提供者と利用者が互いのリスクを認識するための「ITサービスリスク/SLAマトリクス」を作成するなど、より価値の高いアウトソーシングサービスを実現するための指針を示している。JEITAのSLA/SLM専門委員会委員長として同報告書をとりまとめた富士通総研内部統制事業部マネージングコンサルタントの斎藤弘志氏にインタビューした。
|
|
JEITAが発行した報告書「ITサービス・リスクマネジメントとSLA」 |
SLAは従来、ITサービスの提供者側と利用者側が、サービスの品質とコストのバランスを保つために締結するという側面が強かった。だが、今回の報告書作成にあたり斎藤氏は、アウトソーシングサービス提供に伴うリスクに焦点をあて、「内部統制というよりは、もっと広い意味でのリスクマネジメントの指針を示したいと考えた」という。リスクに対するPDCAのサイクルの中で、特に「Plan」に着目。ITサービスを提供する上でのリスクを定義し、リスクに対してどういう対応をとるべきかについて、分かりやすい内容にすることを目指したという。
|
|
|
SLA/SLM専門委員会委員長として報告書をまとめた富士通総研マネージングコンサルタントの斎藤弘志氏 |
ITサービスのリスクについて、斎藤氏は「サービスを当初の予定通りに提供できなくなり、その結果コストが増加したり、損害が発生したりすること」と話す。同時に「リスクはサービス提供側だけに存在するものではなく、利用者側にも存在する」とし、「そうしたリスクの存在を、サービス提供者と利用者が互いに認識することが必要になる」と強調する。
こうしたコンセプトを基に、今回の報告書ではITサービス業界初となる「ITサービスリスク/SLAマトリクス」を作成した。同マトリクスは、米国のISACA(情報システムコントロール協会)が定めている、ITガバナンスの成熟度を測るフレームワーク「Cobit」の4ドメイン、34プロセスをベースとし、各プロセスに経済産業省の「システム管理基準」の294の項目を対応させ、各項目に「発生リスク」「リスク移転可否」「リスク移転可否に関する補足事項」を明示している。
「システム移転の可否」については、アウトソーシングできないもの、またはアウトソーシングしても利用者側にリスクが残るものについては「×」、利用者側と提供者側双方にリスクがまたがるものについては「△」、アウトソースすることでサービス提供者側にリスクが移転するものは「○」としている。また、これらの可否についての理由や対応策が「リスク移転可否に関する補足事項」に記されており、この補足事項に応じて、リスク対応ができるようになっている。
こうして洗い出したリスク全てに対応するのは難しいため、「影響度」「リスク値」などを記入できるワークシート欄を設け、リスク対応における重要度を判断できるようになっている。
斎藤氏は、今回の報告書発行の意義について、「利用者と提供者双方にITサービスのリスクを改めて認識してもらうことで、より高いレベルのアウトソーシングが可能となる。また、外部委託に際してSLAを締結する場合でも、形だけでない本当に有効なSLA項目を選定できるなど、内部統制の面でも効果がある」と話している。
JEITAでは、今回の報告書などが紹介されるセミナーを7月20日に東京都港区の虎ノ門パストラルで開催するとしている。また、報告書の価格は、JEITA会員が5250円、非会員が1万500円となっている。
