TOP
>
システムトレンド
> リスク管理に関する概念の整理
最新 図解CIOハンドブック
第8回:ITに関する内部統制の確立
監修者:
野村総合研究所 淀川 高喜
2005/12/28
前のページ
1
2
3
リスク管理に関する概念の整理
「何々に関するリスク」という形で洗い出しを行っていくと、種々雑多なリスクまで混在してしまう。また、ITは企業活動を支える手段であるので、ITリスクをIT運営だけに閉じて考えるのではなく、企業そのものが抱えているリスクと関連性を持たせて捉える方がよい。企業リスク全般やITリスクについて、国際的に標準となる考え方を参照しながら体系化して整理するべきであろう。
図3:企業リスク管理に関する各種枠組みの関係
(画像をクリックすると別ウィンドウに拡大図を表示します)
ITだけでなく企業に関する幅広い不確実性をリスクとして捉えて、リスクマネジメント全体の枠組みを示したものがCOSO(Committee of Sponsoring Organizations of the Treadway Commision)である。COSOは、もともとは1992年に米国トレッドウェイ委員会が勧告として発表した企業の内部統制に関する枠組みである。
当初は、企業の財務報告の適正化を主目的とした、会計を中心とした企業内業務プロセスの内部統制の枠組みであったが、2003年の改訂ではERM(エンタープライズリスクマネジメント)という企業全体の不確実性に対する対応の枠組みに拡張された。
2002年に米国連邦法としてサーベンス・オクスレー法(企業改革法)が成立し、上場企業に対して財務報告の適正化、内部統制の報告と監査、情報の適時開示など、コーポレートガバナンス(企業統治)の強化が求められたこともあり、COSOはそのためのガイドラインとして注目されている。
一方、IT活用に関わる不確実性に対処するために、ITに関する内部統制の枠組みとしてCOBIT(Control Objectives for Information and related Technology)がある。
COBITは、COSOを参照して作成されたIT分野の内部統制基準といってよい。COBITは情報システムコントロール財団(ISACF)が1996年に初版を発表し、2000年にITガバナンス協会が第3版を発表した。COBITはITに関する内部統制のあるべき姿、すなわちITリスクコントロールの全体体系である。
管理する対象として、「企画と組織」「調達と開発導入」「サービス提供とサポート」「モニタリング」からなる4つのドメイン(領域)と、それを構成する34のプロセスを設定している。
プロセスの中には、次のようなIT運営の全サイクルが含まれている。
企画のドメインには、戦略IT企画の策定、IT方針の決定、IT投資の管理、リスク評価など
調達と開発のドメインには、プロジェクト管理、ソリューションの明確化、アプリケーションの調達・保守、システム導入と受入、変更管理など
サービス提供のドメインには、運用サービスレベルの定義、継続サービスの確保、システムセキュリティの確保、問題と事故の管理、データ管理など
モニタリングのドメインには、プロセスのモニタリングなど
これらのプロセスについて、それぞれコントロール目標が設定されている。各プロセスにおけるコントロールの確立度合いを、5段階評価する成熟度モデルも用意されており、ITに関する内部統制の総合的ベンチマーキングが可能となっている。
前のページ
1
2
3
監修者プロフィール
株式会社野村総合研究所 淀川 高喜
プロセス・ITマネジメント研究室長 兼 金融ITマネジメントコンサルティング部長。国家試験 情報処理技術者試験 試験委員会 委員。1979年野村総合研究所入社。生損保、銀行、公共、運輸、流通、製造業などあらゆる分野における幅広いシステムコンサルティングに携わる。専門は情報技術による企業革新コンサルテーション、情報システム部門運営革新コンサルテーションなど。
INDEX
第8回:ITに関する内部統制の確立
IT資産のオフバランス化によるコスト削減
資産利用者の拡大
ITに関する様々なリスク
