2008/09/25企業リスクとIT統制 <第2回>
<内部統制とは>
内部統制とはInternal Control の日本語訳語であり、法規制や外部からの統制ではなく、企業(組織)内部における活動上の統制機能です。最近身近に使われている別の言葉では、ISMS(BS7799)で言われる「管理策」であり、体制、ルール、手続き、標準化、明文化、チェック、確認、照合、レビュー、検証、報告、のような当たり前な機能です。
<内部統制とリスク>
内部統制は、目的達成のために、その目的達成を阻害する要因(いわゆる『リスク』)を低減するための仕組みであり、リスクの発現を"予防"、リスクが発現した際にその影響を極小化するために迅速に"検知・発見"、リスク発生以前の状態に"回復"させるための仕組みです。
リスクとは、目的を阻害する要因であり、業務遂行中に、何らかのイベント(事象)として生じる可能性のあるものです。つまり、リスクは業務プロセス上で想定し得る事象です。
従って、業務プロセス上に想定し得るリスクに対して、内部統制を業務プロセスの一部として整備し、業務プロセスの目的を達成することが、内部統制を導入する意義と言えます。
リスクに対して、内部統制を整備する目的は、目的達成を阻害する要因である「リスク」を許容できる範囲まで低減することにあります。
内部統制は、リスクに対して実施します。
リスクを分解すると、問題の可能性と影響(リスク)・脅威(ペリル)・ 脆弱性(ハザード)があります。内部統制は、脆弱性に対して実施するものです。
例えば、下記の事象があったとします。
「人事給与システム担当のSEが、友人に大金を恐喝され、プログラムを不正に改ざんし、自分の給与口座に不正に送金を行う。」
このなかで、「自分の給与口座に不正に送金を行う」はリスクであり、「友人に大金を恐喝され」は脅威、「プログラムを不正に改ざんし」は脆弱性、と分類できます。この脆弱性に対して、内部統制を実施します。
---------------------------------------------------------------------------
(参考)リスク管理とは
「リスク管理」という言葉自体は20年そこそこの比較的新しい概念です。
「リスク管理」は従来からある「問題・課題管理」を発展させた管理手法であり、「問題・課題管理」とは似て非なる概念であります。
代表的な管理手法として3点挙げられます。
1. 従来からの「問題・課題管理(QC活動)」
・この管理方法は、現象(既に発現)から、「なぜ」そうなったのかの原因分析を行い、問題を抽出し、課題を設定し、対策(ソリューション)を検討し、導入をするといった方法です。
2. 「リスク管理」
・この管理方法は、現状について、問題が発現する以前から、想定されうる可能性・不確実性に対して、対策(コントロール)を検討し、導入する方法となります。
3. 「危機管理(クライシスマネジメント)」
・この管理方法は、想定していたリスクが発現してしまった場合に、影響を最小限に留めるための計画、代替手段等により業務を継続するための計画、元の状態に復旧するための計画をあらかじめ準備する方法です。
---------------------------------------------------------------------------
[ 特集Top ]
