Risk Oversight vol.53 ITリスク管理の監視

主要な考慮事項

このような環境変化は取締役会のリスク監視にどのような 影響を与えるでしょうか。リスク監視が、投資予算承認の 一部としての個別テクノロジプロジェクト評価や、場当たり 的や受動的なベースでの ITリスクの検討に限定されて いるのでは、不十分でありかつ焦点が狭すぎます。以下 は取締役会がIT関連分野についてリスク監視を強化す るに当たり検討すべき10の提案です。

1. 組織的にITリスク監視を実施する：取締役会の多 くは監査委員会にITに関する主たる監視役として の権限を委譲しています。しかしながら、監査委員 会の関心は財務報告及び財務報告に関連する統 制にとどまりがちです。選択肢としては、取締役会に よる戦略策定・実施の監視と併せて、戦略的なIT 問 題を別の戦略委員会や財務委員会のなかで評価す ることがあります。企業戦略全体の推進におけるテクノロジの重要性によっては、独立した技術委員会を 設置することも必要でしょう。独立したリスク委員会 があるのであれば、同委員会に委ねることも考えられ ます。要するに、監査委員会のみに限定して考える べきではないということです。
2. ​テクノロジがビジネスモデルにどのように組み込まれ ているかを理解する：ITリスクの監視は多くの取締 役会にとってある程度の学習が必要でしょう。テクノロ ジが戦略的サプライヤー、販売チャネルパートナー、カス タマーやアウトソース先との関係を築く手段となってい る場合、取締役はITがビジネスにどのように統合され ているかを理解することが必要です。取締役会は、ま たCEO、CIO、戦略責任者がこのような大局的視野を もつことを支援するように心がけなければなりません。
3. 的を射た質問からはじめる：取締役会がリスク監視 について問うべき概括的な質問は 3 つあります。自 社のリスクは何か、どのようにリスクを管理しているか、 リスクを管理していることをどのように確認しているか、 です。これらの質問はITにも適用され、効果をあげ るには独立した解析と評価が必要です。ITについ て考える上で重要なのは、ITによって破壊的なビジ ネス変化がもたらされる可能性です。いかなる企業 も業界の基盤を一変させる変化が生じた際、誤った 側にはいたくはありません。
4. ​ITを事業としてとらえる：CIO 部門がITを事業として管理します。すべての事業と同様に、IT 事業にも カスタマーとサプライヤーが存在し、情報システムへの 投資に対するリターンを最大化させる一方で、リスクを 最小化させることを確実なものにしなければなりませ ん。IT戦略を企業のニーズに合わせ、ITガバナンス、 リスク管理、コンプライアンスを確立し、ITプロセスを 効率的かつ効果的に管理しなければなりません。事 業との一体化はCIOにとっていつも最重要課題です が、いくつかの理由により実現されていません。例えば、 多くの企業において目標、戦略、主たる成功要因が明 確に伝達されていなかったり、IT 部門が事業を十分 に理解していなかったり、IT 部門があまりに多くの課 題を与えられて取り組みが細分化されてしまっている 等があります。どのような要因があるにせよ、取締役 会の監視により、上級経営者が IT戦略を事業ニーズ とうまく一体化させるよう努めなければなりません。
5. 統合された全体的視点を持つ：セキュリティ・機密情 報漏洩が第一ではありますが、ITリスクにはそのほ かにも取締役会が留意すべき重要リスクを含みます。 ITリスクは多くのビジネスリスクの一要素であると同時 に、評価しなければならないリスクの一分野でもありま す。バーチャル組織やクラウドによりITインフラの責 任は世界各地の拠点で事業を行っている数多くの 事業体に分散されつつあります。ITを取締役会のリ スク監視の議題のつけたしにするのではなく、監視プ ロセスにおいてITリスクを戦略・オペレーション・財務・ コンプライアンスの各リスクと統合する必要があります。 例えば、戦略リスク・財務リスクにはテクノロジの技術 革新、リソースの配分、プロジェクト管理リスクが含まれ ます。オペレーションリスク・コンプライアンスリスクに は重要情報の正確性や妥当性、セキュリティ・機密情 報、ITリソースの可用性、ITサービスへの適切な費 用配分、インフラストラクチャーリスクが含まれます。
6. ITインフラの変化の影響に注意する：企業が市場 地位を拡大・縮小・現状維持しているかにかかわらず、今日のIT 環境においては急激な変化が常であり、 IT部門のポリシー、プロセス、人材、テクノロジを変化 に合わせて進化させるべきと、取締役は認識しなけ ればなりません。今日に必要なのは、機動性・柔軟性 の高い ITインフラです。インフラの変更にかかわる 重要なリソースの意思決定については個々の IT機 能より広い視点で評価する必要があります。（たとえ ば、クラウドによってもたらされるインソース、アウトソー ス、コソースの割合の変更など） 具体的には、クラ ウドは、アプリケーションを導入・設定する初期コスト を抑えて、複数のユーザー（従業員、顧客、サプライ ヤー、委託者等）に対しソフトウェア、プラットフォーム その他のリソースを提供する動的・拡張性のあるイン フラです。また、クラウドは企業のファイヤウォールに 対するリモートアクセスを要求しない、安全性の高い エクストラネット間の分散コンピューティングを提供しま す。ITにとっての課題は、これら変化する環境に適 応し、迅速かつ効率的にユーザーの期待に応える一 方、ITに対する投資の効果が十分に実現しないうち に次々と新規システム・アーキテクチャーに変えないよ うにすることにあります。
7. ​主要なビジネスプロセスの継続性を保つ：事業継 続の計画、回復力、危機管理は全般的 ITリスク管理 プログラムの不可欠な要素です。取締役は経営者 に危機管理や伝達、企業の主要システム（自社所有、 第三者の活用にかかわらず）とビジネスプロセスの復 旧能力について問い合わせることが重要です。
8. ​ITセキュリティ・機密情報に注意を払う：事業活動 の相互依存性が増すにつれ、データは物理的または 電子的に管理に失敗すると即、負債に転じてしまうよ うな資産です。よって、情報セキュリティ・機密情報に ついてもビジネスにかかわる事項として考えることが 重要です。セキュリティの脅威や脆弱性、機密情報 のリスクは、気がついていようとなかろうとあらゆる企 業にとって問題であり、理解し管理することが必要な リスクを生じさせます。企業が自社の直面するリスクを把握できていないと、深刻な脅威が対応されない まま巨大な問題にふくれあがることがあります。取締 役会は、経営者がセキュリティ・機密情報リスクを識 別・管理するために効果的なプロセスを導入している かを確認しなければなりません。
9. ​ITリスクにはコンプライアンスの側面があることを理 解する：企業はITに関する特定のコンプライアンス 上の要件があることもあれば、多くの法規制要件の 遵守にはIT部門のサポートを必要とすることもありま す。例えば、法令上の要件ごとに、下記の事項を確 認する必要があります。
   • 当該法令は自社のデータのどの部分に影響し、当 該データを必要に応じて取り出し、維持することが できるのか。
   • 当該要件に従って、データをどのように分類し管理 しているか。
   重要なことは、法令の要件（Eデイスカバリーを含む） を遵守しないと深刻な結果をもたらすおそれがあり、 ITはコンプライアンス遵守に一定の役割を果たして いるということです。
10. 先進的なテクノロジ監査手法を開発する：2013 年11月に発表されたプロティビティIT 監査ベンチマー クサーベイでは、460 人以上の監査プロフェショナル からの情報を集計しています。このサーベイによると、 多くの企業において必要とされるIT 監査領域がカ バーされておらず、IT 監査リスクアセスメントに多くの 問題点が残されています ^[1]

要約すると、変化するビジネス目的に対してIT が対応で きなかったり、企業内の ITの役割を理解できていなかっ たり、IT戦略とビジネス目標が合致していなかったり、ITイ ンフラが陳腐化していたり、ITパフォーマンスについての 明確な情報がなかったりすると、IT部門は効果的でなくな ります。効果的な取締役会のリスク監視によりIT 部門を強化することができ、IT が企業に与える価値を最大化す ることができます。

[1] From Cybersecurity to IT Governance – Preparing Your 2014 Audit Plan, 2013 年 11月発表 www.protiviti.com