IT監査とIT統制―基礎から事業継続・ネットワーク・クラウドまで― 社団法人日本内部監査協会 編 同文館出版 2012-09-27 Amazonで詳しく見る by G-Tools |
「情報システムライフサイクル別に見たポイント」、「業務委託先管理のポイント」、「情報セキュリティ管理体制のチェックポイント」、「BCM(Business Continuity Management:事業継続マネジメント)体制のチェックポイント」、「クラウド利用にかかる監査のポイント」、「ソーシャルメディア管理体制のチェックポイント」など、次から次へと色々なチェックリストが登場し、混乱してしまった。
これは個人的な印象だが、ITのリスクマネジメントに関しては、(きれいに整理されているかどうかは別として)多くの手法が開発されていると思う。だが、リスクはITに限ったものだけではない。ITのリスクマネジメントは経営資源のうち情報に焦点を当てたものであるが、経営資源には他にもヒト、モノ、カネがある。情報のリスクは技術的リスク、物理的リスク、人的リスクに分けられるように、ヒト、モノ、カネに関するリスクも何らかの切り口で整理できるようにする必要がある。
暫定的な案として、ヒトに関しては①故意による不正、②過失によるミス、③モチベーション低下、モノに関しては、①品質、②コスト、③納期、④環境、⑤機械、カネに関しては①故意による不正、②過失によるミス、③資金不足という切り口から、業務プロセスに潜むリスクを洗い出す方法を提案したいと思う。具体的なやり方としては、下図のエクセルの表のように、まず業務プロセスを列挙する。そして、それぞれのプロセスについて、ヒト、モノ、カネ、情報の観点から想定されるリスクを書き込んでいくというものである。もちろん、全てのセルを埋めなければならないというわけではない。例えば以下のような感じになる。
《例Ⅰ》「図面に基づいて旋盤で金属材料を加工する」というプロセスの場合。
【ヒト】
①故意による不正=社員による原材料の盗難。
②過失によるミス=社員の不注意による加工ミス。
③モチベーション低下=危険な作業を長時間強いられること。
【モノ】
①品質=要求通りの品質が達成できないこと。
②コスト=若手不足・熟練工依存による労務費上昇。
③納期=やり直しによる加工時間の延長。
④環境=鉄くずの不適切な処分。
⑤機械=保守を怠ったことによる突発的な故障。
【カネ】(なし)
【情報】
①技術的リスク=図面システムのハッキング。
②物理的リスク=サーバが高温の工場に置かれていることによる故障。
③人的リスク=社員がプリントアウトした図面を紛失。
《例Ⅱ》「仕入先から原材料を購入する」というプロセスの場合。
【ヒト】
①故意による不正、②過失によるミスは【カネ】で整理。
③モチベーション低下=異動がないことによるマンネリ化。
【モノ】(なし)
【カネ】
①故意による不正=仕入先へのキックバックの要求。
②過失によるミス=工場との連携不足による発注量・発注金額のミス。
③資金不足=運転資金の不足。
【情報】
①技術的リスク=購買システムのハッキングによる仕入価格一覧表の漏洩。
②物理的リスク=第三者の侵入によるシステムの破壊。
③人的リスク=原材料のマスタテーブルの値設定のミス。