2005.10
ページ| 1 | 2 | 3 | 4 |
IT統制の成熟度をどのように向上させるか(前編)
IT統制の成熟度を高めていくには、(1)現状の把握 (2)ITリスクの洗出しと評価 (3)改善策の策定 (4)改善策実施 (5)フォローアップ(改善策の評価)というサイクルを繰り返していく必要があります。IT成熟度を高めていくためにもっとも大切なことは、まず起こりうるITリスク自体を認識すること、そして、限られた経営資源の中で無理なく(徐々に)IT成熟度を高めていくよう、常に改善を行っていくことなのです。このサイクルについて、具体例を交えながら前編・後編の2回に分けて解説していきます。本稿では、企業のIT環境全体に対する統制(全般統制)について解説します
I.はじめに
ここでは、「IT統制(ITコントロール)の成熟度」(以下、「IT成熟度」という)をどのように向上させていくか、つまり、どのようにITリスクを認識し、予防・発見的なコントロールを設定・実施し強化していくかをテーマに取り上げて、説明します。筆者は、昨年度は50社以上のクライアントに対してシステム監査を行っています。これらの経験にもとづいて、どうすればスムーズかつ着実にIT成熟度を向上させられるかを、解説していきます。
前編である今回は、企業のIT環境全体に対する統制(全般統制)についての例をあげます。
全般統制とは、たとえば次のような業務に対する統制を指します。
・ |
ITの運営管理業務(CIO(注1)、システム部門の設置、規程類の整備等) |
・ |
企画開発業務(システムの新規開発や更改) |
・ |
運用業務(バックアップやエラーの監視といった日々の運用) |
・ |
安全統制業務(障害や災害からの保護、復旧) |
・ |
外部委託管理業務(開発や運用を外部委託する際の管理) |
注1:Chief Information Officer、IT担当役員のこと
なお、次回の後編では、企業が持つ個々の基幹業務システム(販売システム、購買システム、会計システム等)に対する統制(業務処理統制)の例について、解説します。
II.IT成熟度を高めていくことの必要性
ITリスクには次のように多種多様な要因が存在します。
・ |
経営戦略に沿わないIT投資 |
・ |
基幹システムダウン |
・ |
不正アクセスや顧客情報漏洩 |
・ |
システムの開発遅れやコストオーバー |
・ |
プログラムバグ |
・ |
運用ミス |
これらの事態が発生した場合、ビジネスに多大な影響を及ぼすものも少なくありません。
たとえば、経営戦略に沿わないIT投資を行ったことによる投資回収期間の長期化、基幹システムのダウンによる取引先への迷惑、顧客情報漏洩による顧客離れなどがあげられます。
自社で起こりうるITリスクとは何かを把握していなければ、ひとたび問題が表面化してしまうと、常に対応が後手に回ることになります。つまりどこに地雷が埋まっているかわからずに地雷原を歩いているようなもので、非常に危険な状況だといえます。
逆に、ITリスクの状況(どのようなことが起こりうるか、発生可能性、発生した場合のビジネスへの影響)を把握し、それぞれのリスクに対する統制、すなわち「コントロール(予防・発見等の措置)」を構築しておけば、必要以上に恐れることはありません。
コントロールの構築に関しては、成熟度の概念が非常に参考になります。
コントロール成熟度の例として、ここでは、COBIT(注2)の6段階(レベル5〜0)の成熟度をあげます。
レベル5 |
最適化されている
標準プロセスを改善・改良し、常に最適化された状態を維持している |
レベル4 |
管理されている
定義された標準プロセスに従って業務が進められているか、モニタリングしている(また、その体制がある) |
レベル3 |
定義されている
標準プロセスがきちんと定義され、組織としてそれを認証している |
レベル2 |
反復可能
標準プロセスがあり、ほとんどがそのプロセスに従って業務をこなしているが、遵守は個人に依存している |
レベル1 |
初歩的
場当り的な対処 |
レベル0 |
存在しない
ルールや問題についての認識がない |
注2: |
Control Objectives for Information and related Technology。米国の情報システムコントロール協会(ISACA:Information Systems Audit and Control Association)が提唱するITガバナンスの成熟度を測るフレームワーク。
|
ここで留意すべき概念として、「IT成熟度の広がり」があげられます。IT成熟度の広がりには縦の広がりと横の広がりがあり、それぞれ次のように説明されます。
縦の広がり |
: |
ITにとどまらない全社的なコントロールの向上(経営の成熟度の向上)、さらには、社会のIT成熟度の向上(高度IT活用社会の実現)につながっていくこと。 |
横の広がり |
: |
自社単独ではなく、ソフトハウスや社外データ・運用センターといった、IT開発・運用の委託先、グループ企業等との協働につながっていくこと。 |
したがって、IT成熟度の向上を検討する際には、ITコントロールもしくは自社の問題としてだけとらえるのではなく、IT以外、自社以外への影響を検討する必要もあるということです。
>>次のページへ
|
