システムリスク管理

ビジネスにおけるシステムリスク

今日のビジネスにおいて、企業活動が情報システムに依拠する割合はますます高まってきています。これは、ビジネスにおけるリスクとして、情報システムのダウンや誤作動、不正利用などのシステムリスクが増大していることに他なりません。
また、場合によっては、システムリスクがビジネスリスクへの引き金となって企業活動に重大な影響を与える可能性もあります。このことは、システムリスクが、システム部門が対応していた従来の情報システムのリスクから、組織として対応すべきリスクへと変化したことを意味します。

あらた監査法人のアプローチ

企業活動や経営戦略に寄与する情報システムが安定的、かつ安全に運営されるためには、情報システムのライフサイクル(戦略・計画⇒開発・導入⇒運用・利用)におけるシステムリスクを識別し、これを適切に管理するための態勢を構築、維持することが重要です。
あらた監査法人では、システムリスク管理における「態勢」「プロセス」「技術」に着目し、管理態勢の整備・構築から、その運営・維持、さらには適宜の評価・改善など、リスク管理サイクルの全般にわたり、企業のシステムリスク管理を支援します。

システムリスク管理態勢構築の進め方

クイックレビュー　【人間ドック】

比較的短期間の調査を通じて、情報システムに関する「態勢」「プロセス」「技術」のリスクレベルを測定することにより、企業にとっての高リスク領域を特定します。これによって、管理対象の対応優先度が明確になります。

個別プロセスレビュー　【精密検査】

特定された高リスク領域に対して、「整備・構築」「運営・維持」「評価・改善」の観点から詳細な評価を行います。これによって、個別の問題点の識別と原因の特定が可能となり、より有効な対応方針が明確になります。

*これらのレビューは、対象領域をさらに広範かつ詳細に行う手法を用いることにより、リスク領域や問題点をトップダウンで直接識別することも可能です。

システムリスク管理態勢整備、構築　【治療】

システムリスク管理態勢が有効ではない、あるいは整備されていない場合は、態勢の整備、構築を行います。また、既存の管理態勢が適切に運営されていない場合は、導入、定着化としての施策を検討します。この段階における目的は、システムリスク管理態勢におけるPDCAサイクルを確立することです。

評価、改善　【定期健診】

一定の運用期間を経過した後、定期的にシステムリスク管理態勢の評価を行うことにより、継続的な有効性を検証します。何らかの問題点が識別された場合は、管理態勢の修正も含めた改善対応策を検討します。

このような標準的アプローチに加え、あらた監査法人では、クライアントの要望や課題に合わせたシステムリスク管理に関する支援サービスを提供することも可能です。

あらた監査法人によるサービスのメリット

• あらた監査法人のスタッフは、バックグラウンドとして、システム構築プロセスにおける管理や設計・開発、運用、セキュリティなど、情報システムに関する豊富な実務経験を保有しています。
• 監査やレビュー業務にて多くの企業の評価を行っており、問題の所在や企業活動におけるリスクの識別手法、その対応のためのベストプラクティスについての豊富な知識があります。
• あらた監査法人は、独立した第三者的な立場からのサービスを提供するため、特定の利害関係に左右されず、客観的なアドバイスが可能となります。