COBIT5 を用いたグローバル IT ガバナンス強化 国内事例を中心に デロイトトーマツリスクサービス株式会社 2014 年 11 月 13 日
目次 国内企業の事例から学ぶこと これからの課題 GRC Technology の活用 なぜデロイトがクライアントから選ばれているのか 本資料の意見に関する部分は私見であり 所属する法人の公式見解ではありません 2
3 国内企業の事例から学ぶこと
今回の事例会社の業種は? 金融機関グループ A 金融機関グループ B 金融機関グループ C 金融機関が多い ただし 検討中も含めると製造業も増えている 製造業グループ D 4
なぜグローバル IT ガバナンスの強化に取り組んでいるのか? 金融機関グループ A 企業買収を重ねる中で 管理水準のばらつきが生じ 適切にリスクを把握できていない 金融機関グループ B 規制当局対応の一環 金融機関グループ C 国際競争力強化の土台づくり 製造業グループ D 5
なぜ COBIT5 をベースにしたのか? 金融機関グループ A なぜ COBIT か なぜ COBIT か? 金融機関グループ B 海外でも広く知られている 英語がベースであり海外展開も容易 金融機関グループ C 製造業グループ D なぜ 5 か なぜ 5 か? ガバナンスに踏み込んでいる最新であり近年の状況を踏まえている 6
どのような手順で進めるのか? 各社の対応方針 金融機関グループ A まずは国内のガバナンスを強化する リスクマネジメント関連の特定プロセスに絞って フィージビリティーを行い 段階的に進める 金融機関グループ B 国内外の主要子会社を数社選定し 全社統制関連分野 (EDM APO) の現状評価をし 中長期計画を策定し 実行していく 金融機関グループ C COBIT5 をベースにグローバル標準を策定し 海外子会社も含めて一斉に導入をする 2~3 年かけて各社で計画を立案し 実装していく 製造業グループ D COBIT5 のプロセスを標準とし 国内 海外の順番で文書 実装の ギャップを改善していく 7
どのような手順で進めるのか? 段階的な導入 ( 例 ) 事業 地域 対象 主要事業全事業全事業全事業 国内国内海外主要グローバル 全社統制全領域全領域全領域 COBIT5 8
参考 ある企業での IT ガバナンス確立ロードマップ プログラムの開始 有効性のレビュー 効果の実現 プログラムの開始 Step 1 有効性のレビュー 効果の実現 システムリスク領域 プログラムの計画 特定領域の整備 ( スモールスタート ) 計画の実行 - システムリスクから先行 - 課題診断と改善策の検討 - ロードマップと展開計画の策定 - 社内における COBIT 認知度の向上 プログラムの開始 Step 2 有効性のレビュー 他領域への展開 効果の実現 本社 IT ガバナンス プログラムの計画 - プロセス全般について順次展開 - 効果性のある施策実行 計画の実行 Step 3 グループ IT ガバナンス プログラムの計画 あるべき IT ガバナンス像の定義 計画の実行 - 本社として COBIT5 をベースとしたあるべき IT ガバナンスルールの確立 Step 4 海外子会社への展開 - COBIT5 を 共通言語 としてグループ全体の IT ガバナン整備 9
参考 ある企業での IT ガバナンス確立ロードマップ EDM03 リスク最適化の保証 概要把握 評価 改善計画 短期改善 中長期改善 運用 EDM02 効果提供の保証 概要把握 評価 改善計画 短期改善 中長期改善 運用 EDM04 資源最適化の保証 概要把握 評価 改善計画 短期改善 中長期改善 運用 10
検討すべき課題は何か? 既存の基準との整合性の確保 J-SOX 金融検査マニュアル FISC 安全対策基準 COBIT5 Evaluate Direct Monitor Align Plan Organize Build Acquire Implement Deliver Service Support Monitor Evaluate Assess 個人情報保護ガイドライン ITIL ISO/IEC 27000 s 11
参考 金融検査マニュアルと COBIT5 の関係 ( イメージ ) 金融検査マニュアル COBIT5プロセス Ⅰ. 経営陣によるオペレーショナルリスク管理態勢の整備 確立状況 1. 方針の策定 EDM03 2. 内部規程 組織体制の整備 EDM03 3. 評価 改善活動 EDM03 Ⅱ. 管理者によるオペレーショナルリスク管理態勢の整備 確立状況 1. 管理者の役割 責任 APO012 2. システムリスク管理部門の役割 責任 APO012 Ⅲ. 個別の問題点 1. 情報セキュリティ管理 DSS05 2. システム企画 開発 運用管理等 BAI01~10 DSS01~03 3. 防犯 防災 バックアップ 不正利用防止 DSS04,05 4. 外部委託管理 APO10 12
参考 グループ共通のルールの作成ポイント 基盤となる共通ルールが必要です What( 要件 ) How( 手段 ) 手順 1 手順 2 手順 3 手順 4 プロセスに統制が組み込まれる How much( 設定 ) What( 要件 ) How( 手段 ) How much( 設定 ) グローバルで共通の Must 項目 地域 サービス等ごとに設定できる Should 項目 13
これからの課題 GRC Technology の活用 COBIT5 14 を用いたグローバルITガバナンス強化
あるべきリスク管理態勢 ( 体制 ) リスクガバナンス ガバナンス 経営者の姿勢 リスクインフラと管理 人材 共通リスクインフラ プロセス テクノロジー リスクオーナーシップ リスクの識別 ガバナンス リスクマネジメントプロセス リスクの評価と測定 リスクの集約 戦略と計画 リスクへの対応 リスクタイプ 業務運営とインフラ コントロールの設計 導入 テスト コンプライアンス モニタリングと報告 開示 報告 15
共通インフラの整備が継続のためのポイントである GRC Technology を活用し IT インフラを整備する リスク コントロール コンプライアンス等の知見をもった人材 共通リスクインフラ 標準プロセスを確実に効率的に実施するための IT インフラ 人材 プロセス テクノロジー COBIT5 標準プロセス (Cobit5 ベース ) 16
ダッシュボード機能による可視化の実現 全体感の理解 17 ドリルダウンによる 詳細データへの アクセス 様々な切り口 による分析 Analytics
シングルレポジトリーによりデータの一貫性の担保 銀行 生命保険 損害保険 証券 信託銀行 消費者金融クレジット COBIT5 IT 戦略 JSOX ITIL FISC BCP コンプライ ISMS アンス 資産管理 内部監査 インシ委託先デント管理管理 18
なぜデロイトがクライアントから選ばれているのか?! 19
デロイトがクライアントに選らばれる 5 つの理由 人 コンサルティングファームとしての問題解決力 事業 様々なインダストリーの事業への知見 地域 グローバルファームとしてのグローバル対応力 COBIT5 知見 COBIT に対する深い知見 技術 GRC Technology についての深い知見と経験 20
Answer is 21
トーマツグループは日本におけるデロイトトウシュトーマツリミテッド ( 英国の法令に基づく保証有限責任会社 ) のメンバーファームおよびそれらの関係会社 ( 有限責任監査法人トーマツ デロイトトーマツコンサルティング株式会社 デロイトトーマツファイナンシャルアドバイザリー株式会社および税理士法人トーマツを含む ) の総称です トーマツグループは日本で最大級のビジネスプロフェッショナルグループのひとつであり 各社がそれぞれの適用法令に従い 監査 税務 コンサルティング ファイナンシャルアドバイザリー等を提供しています また 国内約 40 都市に約 7,800 名の専門家 ( 公認会計士 税理士 コンサルタントなど ) を擁し 多国籍企業や主要な日本企業をクライアントとしています 詳細はトーマツグループ Web サイト (www.deloitte.com/jp) をご覧ください Deloitte( デロイト ) は監査 税務 コンサルティングおよびファイナンシャルアドバイザリーサービスをさまざまな業種にわたる上場 非上場クライアントに提供しています 全世界 150 を超える国 地域のメンバーファームのネットワークを通じ デロイトは 高度に複合化されたビジネスに取り組むクライアントに向けて 深い洞察に基づき 世界最高水準の陣容をもって高品質なサービスを提供しています デロイトの約 200,000 名を超える人材は standard of excellence となることを目指しています Deloitte( デロイト ) とは 英国の法令に基づく保証有限責任会社であるデロイトトウシュトーマツリミテッド ( DTTL ) ならびにそのネットワーク組織を構成するメンバーファームおよびその関係会社のひとつまたは複数を指します DTTL および各メンバーファームはそれぞれ法的に独立した別個の組織体です DTTL( または Deloitte Global ) はクライアントへのサービス提供を行いません DTTL およびそのメンバーファームについての詳細は www.deloitte.com/jp/about をご覧ください Member of Deloitte Touche Tohmatsu Limited 2014. For information, contact Deloitte Touche Tohmatsu LLC.