• Search in Protiviti.com

Risk Oversight vol.27 「ITリスクを監視する」

IT技術の息をのむような発展は社会のあり方を大きく変 え、IT 技術相互間で影響しあっています。ITを活用す ることで企業はコストの削減、ビジネスプロセスの改善、そ して収益の拡大を計っています。ITはいまや企業の質 的変化の源泉そのものです。

日本語版PDF         英語版PDF

主要な考慮事項

200 名以上の企業取締役を対象に実施された最近の サーベイ [1] によると、対象取締役のうち47 パーセントは 自社の取締役会のITリスクを監視する能力は不十分だ と回答しています。このサーベイ結果は、従来は投資予 算の承認の一部として、個々の ITプロジェクトの評価に 限っての取締役会のリスク監視をより広く捉えなおす必 要を示しています。

以下の項目は、取締役会が ITリスクをより広い視点から 監視する上で念頭に置くべき事項です。

  • まずはじめに意識しなければならないこと
    取締役がITリスクを監視する上でまず意識しなくてはな らないことは、「そもそもどのような内容のリスクがあるの か」「どのようにリスクを管理しているのか」「どのようにリス クが管理されていることを確認しているのか」の3 点で す。これらの疑問を通じ、取締役会はITリスクは他のビ ジネスリスクの一部であると同時に、全社的に評価すべ き特定のリスクでもあることを認識しなければなりません。
  • 統合的・大局的なアプローチをとる
    取締役会は、ITリスクを付随的な項目として考えるのではなく、戦略リスク、オペレーションリスク、財務リスク、コ ンプライアンスリスクと統合して監視しなければなりませ ん。例えば、戦略リスク・財務リスクにはIT 技術の革新、 リソースの配分、プロジェクトマネジメントに伴うITリス クが関連しますし、オペレーションリスク・コンプライアンス リスクには機密情報の保持、セキュリティ・プライバシー、 ITリソースの可用性、ITサービスへのコスト配分やイン フラリスク等の内部プロセスリスクが関連します。なか でもセキュリティ・プライバシー漏洩や IT業務の中断が 特に重大なリスクですが、他のリスクも無視できません。
  • ITリスクの監視に適した体制を構築する
    ITを監視する役割は監査委員会が担う場合が多いよ うですが、監査委員会の焦点が財務報告・財務統制関 連に限定されてしまう例も多く見られます。取締役会の 経営戦略の策定ならびに執行の監視方法に照らして、 監査委員会の代わりに独立した経営戦略委員会や財 務委員会において戦略的IT事項を評価することも考え られるでしょう。企業の戦略の持続性におけるITの重 要性によっては、独立したIT 委員会を設置してもよいか もしれません。また、独立したリスク委員会を設置してい る場合は、同委員会で担当することも考えられます。
  • ビジネスモデル上の ITの役割を理解する
    戦略的サプライヤー、チャネルパートナー、顧客や調達 先との間でITを用いて結びついている企業において は、取締役は、経営者に対しITを統合したビジネスの 構図を示すように求めなければなりません。
  • ITリスクにはコンプライアンスの側面もあることを忘れずに
    業種を超え、新規の法規制ならびに法改正が継続的 に進んでいます。コンプライアンス違反は厳しい結果 をもたらしかねません。したがって、法の要請を満たす 上でもITの活用が必要となります。
  • 内部監査を強化する
    ​プロティビティの 2011 年版 IT監査サーベイによると、 対象となった監査担当者 500 名のうち、20 パーセントは IT監査機能がそもそも存在せず、16 パーセントは IT 監査に関するリスクアセスメントを実施しておらず、42 パーセントは ITリスクを評価するのに必要なリソース・ 能力が不足していると回答しています。
  • 取締役会の意識を高める
    ITリスクの監視のためには大半の取締役会は、より高 い知識や意識が必要です。この点についてはCEO、 CIOや経営戦略責任者の補佐を活用すべきです。

取締役会の考慮事項

以下は自社の遂行するビジネスに伴うITリスクの性質に 応じ、取締役会が考慮すべき事項です。

  • 取締役会はITリスクおよびそれを管理するプロセスを 監視するのに十分な時間を費やしているか。
  • 自社は競合他社(および自社従業員)が新しいテクノロ ジーをどのように活用しているかを含め、IT 技術の革 新を監視しているか。老朽化したシステムが効率性・ 敏捷性・イノベーションを阻害していないか。
  • 個々のITプロジェクトが、将来において、どの程度費 用削減やビジネスプロセスの改善、戦略目標の達成等 の効果をあげるかについての前提を理解し、またその達成度をどのように測定するかについて理解している か。大型プロジェクトが目的を達成していることを確認 するためのフォローアップを実施しているか。
  • 取締役会は(1)自社のIT 費用全体および(2)投資効 率を最適化し、法規制・契約上の要請を満たすため に、プロジェクト全体に占めるIT 費用が適切であるか について十分な情報を得ているか。
  • 取締役会は自社の直面している情報プライバシーやセ キュリティリスクを理解しているか。新しいビジネスプロ セスにおいても情報プライバシーやセキュリティは検討 されているか。
  • CIO・情報管理部門は事業の変化に即したサポートを 十分に提供しているか。
  • クラウドソリューションを利用しているか。利用している 場合、取締役会はクラウドに関連するリスクを理解して いるか。
  • アウトソースを利用している場合、取締役会はアウトソース 先との関係が十分管理されているか確認しているか。
  • 取締役会は企業・業種に関連するIT 事項について精 通しているか。

[1] Taming Information Technology Risk : A New Framework for Boards of Directors、National Association of Corporate Directors and Oliver Wyman,   2011,  5 頁

プロティビティは、情報システムの投資効率の最大化、ITリ スクの最小化、ITインフラの効率化に関する支援を実施し ています。プロティビティの幅広いITコンサルティングサー ビスはITビジネスマネジメント、ITセキュリティとプライバシー、 アプリケーションとデータ等、多岐にわたります。また、プロ ティビティのベンチマークサービスは経営者が ITをビジネ スの要件と統合し、費用効率の高いIT 組織の実現を可 能にします。

全ての関連情報は

こちらへ
Loading...