 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 | ||||||||||
|
||||||||||
| リスク管理に関する概念の整理 | ||||||||||
|
「何々に関するリスク」という形で洗い出しを行っていくと、種々雑多なリスクまで混在してしまう。また、ITは企業活動を支える手段であるので、ITリスクをIT運営だけに閉じて考えるのではなく、企業そのものが抱えているリスクと関連性を持たせて捉える方がよい。企業リスク全般やITリスクについて、国際的に標準となる考え方を参照しながら体系化して整理するべきであろう。  図3:企業リスク管理に関する各種枠組みの関係 (画像をクリックすると別ウィンドウに拡大図を表示します) |
||||||||||
|
ITだけでなく企業に関する幅広い不確実性をリスクとして捉えて、リスクマネジメント全体の枠組みを示したものがCOSO(Committee of Sponsoring Organizations of the Treadway Commision)である。COSOは、もともとは1992年に米国トレッドウェイ委員会が勧告として発表した企業の内部統制に関する枠組みである。 当初は、企業の財務報告の適正化を主目的とした、会計を中心とした企業内業務プロセスの内部統制の枠組みであったが、2003年の改訂ではERM(エンタープライズリスクマネジメント)という企業全体の不確実性に対する対応の枠組みに拡張された。 2002年に米国連邦法としてサーベンス・オクスレー法(企業改革法)が成立し、上場企業に対して財務報告の適正化、内部統制の報告と監査、情報の適時開示など、コーポレートガバナンス(企業統治)の強化が求められたこともあり、COSOはそのためのガイドラインとして注目されている。 一方、IT活用に関わる不確実性に対処するために、ITに関する内部統制の枠組みとしてCOBIT(Control Objectives for Information and related Technology)がある。 COBITは、COSOを参照して作成されたIT分野の内部統制基準といってよい。COBITは情報システムコントロール財団(ISACF)が1996年に初版を発表し、2000年にITガバナンス協会が第3版を発表した。COBITはITに関する内部統制のあるべき姿、すなわちITリスクコントロールの全体体系である。 管理する対象として、「企画と組織」「調達と開発導入」「サービス提供とサポート」「モニタリング」からなる4つのドメイン(領域)と、それを構成する34のプロセスを設定している。 プロセスの中には、次のようなIT運営の全サイクルが含まれている。
これらのプロセスについて、それぞれコントロール目標が設定されている。各プロセスにおけるコントロールの確立度合いを、5段階評価する成熟度モデルも用意されており、ITに関する内部統制の総合的ベンチマーキングが可能となっている。 |
||||||||||
|
前のページ 1 2 3 |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
人気記事ランキング
-
-
連載
