情報資産管理～コンプライアンスの方針のチェックリスト

システムライフサイクルの監査／情報戦略／情報資産管理の方針／
システムライフサイクルの監査／情報戦略／事業継続計画／
システムライフサイクルの監査／情報戦略／コンプライアンス／ 

今回は「情報戦略」の「情報資産管理の方針」と「事業継続計画」と「コンプライアンス」のチェックリスト作成に挑戦です。今回で「情報戦略」の項は一旦終了です。

  必要な統制

1. ISMS（情報セキュリティマネジメントシステム）
2. BCP（事業継続計画）／BCM（事業継続マネジメント）
   

  チェックリスト

（青字はコメント）

1. 情報資産管理の方針
1. 情報資産の管理方針及び体制を明確にすること。
• ISMS基本方針を確認
• ISMSマニュアルを確認
  
2. 情報資産のリスク分析を行い、その対応策を考慮すること。
• ISMSの情報資産リスク評価シートを確認
• 考慮とは?
  
3. 情報資産の効率的で有効な活用を考慮すること。
• ISMSの資産ランクと管理策を確認
• 考慮とは？
  
4. 情報資産の共有化による生産性向上を考慮すること。
• ISMSの資産ランクと管理策を確認
• 考慮とは？
  
2. 事業継続計画
1. 情報システムに関連した事業継続の方針を策定すること。
• BCPの方針に情報システムに関する記載があることを確認
  
2. 事業継続計画は、利害関係者を含んだ組織的体制で立案し、組織体の長が承認すること。
• BCPの立案～承認のプロセスを確認
  
3. 事業継続計画は、従業員の教育訓練の方針を明確にすること。
• BCPに従業員の教育訓練の方針が記載されていることを確認
  
4. 事業継続計画は、関係各部に周知徹底すること。
• 関係各部がBCPを閲覧できる状態にあることを確認
• 関係各部員がBCPの内容を理解しているか確認
  
5. 事業継続計画は、必要に応じて見直すこと。
• BCPの見直し状況を確認
  
3. コンプライアンス
1. 法令及び規範の管理体制を確立するとともに、管理責任者を定めること。
• 職務分掌規程にコンプライアンス担当部署と責任者が明記されていることを確認
  
2. 遵守すべき法令及び規範を識別し、関係者に教育及び周知徹底すること。
• 弁護士等の外部専門家からの指導状況を確認
• 社内での法務関連の情報共有の実施状況を確認
  
3. 情報倫理規程を定め、関係者に教育及び周知徹底すること。
• 情報倫理規程とその教育と周知の状況を確認
  
4. 個人情報の取扱い、知的財産権の保護、外部へのデータ提供等に関する方針を定めること。
• ISMSの該当箇所を確認
  
5. 法令、規範及び情報倫理規程の遵守状況を評価し、改善のために必要な方策を講じること
• 顧問弁護士等の外部専門家に法令の順守状況を確認
• 情報倫理規定遵守のモニタリング状況を確認
• 規範が守られていることを確認することは可能か?

今回の項目は一般的なマネジメントシステムがあると対応しやすいと思われる内容が多くありました。マネジメントシステムの構築はIT監査を円滑に進める上でも有効だと思います。

情報化投資のチェックリスト

システムライフサイクルの監査／情報戦略／情報化投資／
 
今回は「情報戦略」の「情報化投資」のチェックリスト作成に挑戦です。
そして、今回もチェックリスト作成前に以下のものが必要だと気付きました。

  必要な統制

1. IT計画書に「情報化投資計画」の項を設定する。

  チェックリスト

　（青字はコメント）

1. 情報化投資計画は、経営戦略との整合性を考慮して策定すること。
• IT計画書の情報化投資計画と経営戦略の整合性を確認
• 全体最適化計画の情報化投資の方針との整合性を確認
  
2. 情報化投資計画の決定に際して、影響、効果、期間、実現性等の観点から複数の選択肢を検討すること。
• 情報化投資計画に選択肢を比較検討した経緯の記載があることを確認
• 個人的にはこの項は公共性のある投資についてのみ必要だと考える
  
3. 情報化投資に関する予算を適切に執行すること。
• 経理部門からの情報化投資に対する予実管理の状況報告を確認
  
4. 情報化投資に関する投資効果の算出方法を明確にすること。
• IT計画書の情報化投資計画に投資効果の算出方法が記載されていることを確認
• 全体最適化計画の投資効果の測定方法との整合性を確認
  
5. 情報システムの全体的な業績及び個別のプロジェクトの業績を財務的な観点から評価し、問題点に対して対策を講じること。
• IT計画書の情報化投資計画が情報システムの問題点を整理した上で投資項目が決定されていることが記述されていることを確認
• 情報システムの業績を財務的な観点から評価するとは何かがわかりにくい
  
6. 投資した費用が適正に使用されたことを確認すること。
• 予定されたシステムの検収・納品の証憑を確認
• 完了の確認と解釈

今回はシステム管理基準の記述に難解な箇所がありました。私なりの解釈をすることでチェックリストを作成しています。

組織体制チェックリスト

システムライフサイクルの監査／情報戦略／組織体制／ 

今回は「情報戦略」の「組織体制」のチェックリスト作成に挑戦します。

  必要な統制

1. 前々回に想定したIT戦略会議に情報システム化委員会を設置する
2. IT計画書に「技術採用指針」の項を設定する
3. 情報システム部門の組織図と担当業務・権限一覧
   

  チェックリスト

1. 情報システム化委員会
1. 全体最適化計画に基づき、委員会の使命を明確にし、適切な権限及び責任を与えること。
• IT戦略会議のチャーターに委員会の使命、権限、責任が記載されていることを確認
2. 委員会は、組織体における情報システムに関する活動全般について、モニタリングを実施し、必要に応じて是正措置を講じること。
• 情報システム化委員会の議事録に情報システム化のモニタリング報告と是正勧告が記載されていることを確認
  
3. 委員会は、情報技術の動向に対応するため、技術採用指針を明確にすること。
• IT計画書に技術採用指針が記載されていることを確認
  
4. 委員会は、活動内容を組織体の長に報告すること。
• 委員会の報告が社長へ提出されていることを確認
  
5. 委員会は、意思決定を支援するための情報を組織体の長に提供すること。
• 委員会の社長への報告提言が盛り込まれていることを確認
  
2. 情報システム部門
1. 情報システム部門の使命を明確にし、適切な権限及び責任を与えること。
• 職務分掌規程に情報システム部門の権限と責任の記載があることを確認
  
2. 情報システム部門は、組織体規模及び特性に応じて、職務の分離、専門化、権限付与、外部委託等を考慮した体制にすること。
• 情報システム部門の組織図を確認
• 情報システム部門構成員の担当業務を確認
  
3. 人的資源管理の方針
1. 情報技術に関する人的資源の現状及び必要とされる人材を明確にすること。
• IT計画書の要員計画には現状の要員と必要とされる人材が記載されていることを確認
  
2. 人的資源の調達及び育成の方針を明確にすること。
• IT計画書の要員計画に人的資源の調達及び育成方針が記載されていることを確認

チェックリストを作成すると必要な体制や計画書の記載するべき事項が具体的になってきました。

全体最適化チェックリストその2

システムライフサイクルの監査／情報戦略／全体最適化計画の策定／

今回は前回に引き続き「全体最適化」のチェックリストを検討します。

検討を進める中で、前回想定したIT計画書には「全体最適化計画」の項が必要だと気付きました。
以降、IT計画書に全体最適化計画が記載されていることを前提にチェックリストを考えます。

  必要な統制

1. 組織図
2. 事業計画書
   
3. 決裁規程
4. IT計画書（以下の項目を網羅する）
1. ITガバナンス図
2. IT計画と経営戦略との関係
3. 情報システム化の目的
4. 情報システム化の影響
5. 全体最適化計画
1. 情報化投資の方針
2. 要員計画
3. 設備投資計画
4. 経費計画
5. 効果測定の方法
6. リスク算定の方法
7. 外部資源の活用について
8. 改訂履歴
   
5. IT戦略会議チャーター（以下の項目を網羅する）
1. 会議体の位置づけ
2. 会議の目的
3. 会議開催要領

  チェックリスト

1. 全体最適化の方針・目標
1. ＩＴガバナンスの方針を明確にすること。
2. 情報化投資及び情報化構想の決定における原則を定めること。
3. 情報システム全体の最適化目標を経営戦略に基づいて設定すること。
4. 組織体全体の情報システムのあるべき姿を明確にすること。
5. システム化によって生ずる組織及び業務の変更の方針を明確にすること。
6. 情報セキュリティ基本方針を明確にすること。
2. 全体最適化計画の承認
1. 全体最適化計画の立案体制は、組織体の長の承認を得ること。
2. 全体最適化計画は、組織体の長の承認を得ること。
3. 全体最適化計画は、利害関係者の合意を得ること。
3. 全体最適化計画の策定
1. 全体最適化計画は、方針及び目標に基づいていること。
• IT計画書の全体最適化計画とITガバナンス図の整合性を確認
• IT計画書の全体最適化計画と経営戦略の整合性を確認
  
2. 全体最適化計画は、コンプライアンスを考慮すること。
• （必要に応じて）全体最適化計画が法務部門のレビューを受けていることを確認
  
3. 全体最適化計画は、情報化投資の方針及び確保すべき経営資源を明確にすること。
• IT計画書の全体最適化計画に情報化投資の方針、要員、設備投資、経費等の経営資源の計画が記載されていることを確認
  
4. 全体最適化計画は、投資効果及びリスク算定の方法を明確にすること。
• IT計画書の全体最適化計画に投資効果の測定方法とリスクの算定方法が記載されていることを確認
  
5. 全体最適化計画は、システム構築及び運用のための標準化及び品質方針を含めたルールを明確にすること。
• IT計画書の全体最適化計画にシステム構築及び運用のための標準化及び品質方針を含めたルールが記載されていることを確認
6. 全体最適化計画は、個別の開発計画の優先順位及び順位付けのルールを明確にすること。
• IT計画書の全体最適化計画に個別の開発計画の優先順位及び順位付けのルールが記載されていることを確認
7. 全体最適化計画は、外部資源の活用を考慮すること。
• IT計画書の全体最適化計画に外部資源の活用計画が記載されていることを確認
4. 全体最適化計画の運用
1. 全体最適化計画は、関係者に周知徹底すること。
• 全体最適化計画が関係者に伝達または関係者がアクセス可能な場所に掲示されていることを確認
• 関係者が全体最適化計画の存在または内容を知っているか確認
  
2. 全体最適化計画は、定期的及び経営環境等の変化に対応して見直すこと。
• 事業計画の変更と全体最適化計画の改訂状況の整合性を確認
• IT戦略会議の議事録で改訂検討状況を確認
  

監査のチェックリストを作ろうとすると、整備すべき資料の構造も決まってきますね。

全体最適化チェックリストその１

システムライフサイクルの監査／情報戦略／全体最適化の方針・目標／
システムライフサイクルの監査／情報戦略／全体最適化計画の承認／

仕事始めとして、システムライフサイクルの監査の要点項目の「情報戦略」の（「の」が多くなってしまった…）「全体最適化の方針・目標」と「全体最適化計画の承認」について詳細化に挑戦してみます。

  必要な統制

1. IT計画書
1. ITガバナンス図
2. IT計画と経営戦略との関係
3. 情報システム化の目的
4. 情報システム化の影響
2. IT戦略会議
1. 会議体の位置づけ
2. 会議の目的
3. 会議開催要領

  チェックリスト

1. 全体最適化の方針・目標
1. ＩＴガバナンスの方針を明確にすること。
• ITガバナンス図を確認
2. 情報化投資及び情報化構想の決定における原則を定めること。
• 情報化構想の決定を行うIT戦略会議の存在と定義を確認
• 決裁規程に情報化投資について規定を確認
3. 情報システム全体の最適化目標を経営戦略に基づいて設定すること。
• IT計画書に情報システム全体の最適化目標と経営戦略の関係が記載されていることを確認
  
4. 組織体全体の情報システムのあるべき姿を明確にすること。
• IT計画書に組織全体の情報システム化方針が記載されていることを確認
  
5. システム化によって生ずる組織及び業務の変更の方針を明確にすること。
• IT計画書に情報システム化の影響について方針が記載されていることを確認
  
6. 情報セキュリティ基本方針を明確にすること。
• 情報セキュリティ基本方針の存在を確認
2. 全体最適化計画の承認
1. 全体最適化計画の立案体制は、組織体の長の承認を得ること。
• IT戦略会議の位置づけを確認
  
2. 全体最適化計画は、組織体の長の承認を得ること。
• 全体最適化計画を社長が承認していることを確認
  
3. 全体最適化計画は、利害関係者の合意を得ること。
• （必要に応じて）全体最適化計画が取締役会等で承認されていることを確認
  

監査のチェックリストを作成していくと、被監査部門に準備しておいて欲しいものが明確になってきます。監査部門と被監査部門の労力が最少になるように必要な調整を進めなければならないと思いました。

心に残る経営者の言葉

冬休み最終日なので少しIT監査を離れて…

月刊監査研究2010年1月号に「原点回帰の経営戦略」という王将フードサービス代表取締役社長軒営業本部長大東隆行氏の第43回内部監査推進全国大会記念講演の内容が紹介されていました。
大東氏は餃子の王将で知られる王将フードサービスの社長兼営業本部長で先代の創業社長から引継ぎ王将を見事に立て直した経営者です。

私も第43回内部監査推進全国大会に参加したものの、仕事の都合により本記念講演を聴くことができなかったため、今回の記事を待ち遠しく思っていました。今回は本講演内容で私が感銘を受けた言葉を紹介します。

1. 先代社長は強引でカリスマ性以上の仕事の鬼みたいな人だったが、ものすごく心に温かみ、想いがあった。それにカリスマ性に重みがあった。軽いカリスマ性では、絶対、人はついてこない。
2. お客さんが入って、「あっ、変わったな」という変化を感じるような改造の仕方をしなければ、数字の変化はでない。
3. 上の者が燃えなくして、何で下が燃えるのか。上の者が伝えなくて、何で下の者に伝わるのかと。（中略）言葉というのは自分の魂、言霊なんだ。
4. 仕事力があっても人間力が乏しければ、絶対、人がついてこない。上の者はファンがいる、柔軟性がある、この人についていったら何かいいことがあるという魅力を持たないといけない。
5. 最初から最良なんか絶対あり得ない。実践して、悪いところを直しながら、それによって最良を目指していく。
6. 本部から管理監督していれば、だんだんぶら下がるものが多くなっていき、本部としてはだんだん重荷になってきて、目が届かなくなっていく。
7. 利益を追って利益を残すのではなく、いい人材を揃えて育て残していったら、勝手に利益を生んでくれる。
   
8. 意見を発表するときに、資料を見て発表しているのなら、それは自分のものにまだなっていない。
9. 会議でも何でも言いやすい者ばかり怒っていても、絶対そこに緊張感は生まれない。
   
10. 会議には1個だけでいいから数字というものを絶対に入れないといけない。そうすることによって目標というものができる。

いかがでしょうか？とても心に響く言葉がたくさんあると思います。一見、内部監査と無関係な気がしますが、内部監査人として、経営者の考えを理解することは非常に重要なことだと思います。

本年もよろしくお願いいたします。

２０１０年になりました。明けましておめでとうございます。

旧年同様、当ブログでは内部監査について私の試行錯誤を記録していきます。
引き続き、我流ではありますが、内部監査関連の知識の整理を通じて読者の皆様にもちょっと役立つブログでありたいと考えています。
今年は特にIT監査について重点的に整理していきたいと思います。

それでは、本年も当ブログをよろしくお願いいたします。