元のページへ戻る 

(2013年2月8日 掲載)

DF監査役部会第8クール    第4回研修会

講師

監査役部会第8クール第4回研修会が、次のとおり開催されました。

  • 開催日時:2013年1月17日(木)15:00〜17:00
  • 場  所:学士会館
  • テ ー マ:ITガバナンスと監査役
  • 講  師:㈱日本取引所グループ取締役(監査委員)広瀬 雅行氏
  • 参加人員:約50名

【概要】

はじめに、IT活用の進展・ICT技術の進歩・システム能力の向上・高頻度取引(HFT)・情報セキュリティー事故の問題等、ITガバナンスを理解するための環境について解説いただいた。

続いて本論では日本監査役協会に設置されたITガバナンス研究会でまとめた報告書「監査役に期待されるITガバナンスの実践」を参照しつつ、総論(基本認識)と各論(監査役としての着眼点)に区分して講演いただいた。

【総論    基本認識】

1.ITガバナンスとは    定義

  • コーポレートガバナンスのうち「ITの利用に関するガバナンス機能」を指す。
  • また監査役の立場からはコーポレートガバナンスの一側面と位置付けられる。
  • すなわち、ITの戦略的活用とそれに伴うリスクに対し、取締役から独立した立場で監視・検証することにより、企業グループ全体としてのIT活用の推進とリスク対処を効果的にする仕組みないし活動である。

2.監査役としてITガバナンスにどのように取り組むべきか

  • ITガバナンスに特別な方法・仕組みは不要。
  • 取締役が果たすべき職能と責任を独立した立場から監視・検証する。
  • ITリスクは技術的リスクではなく、取締役が対応すべき重要な経営リスクである。
  • 取締役と監査役の役割・責任は「車の両輪」と認識すべき。
  • 事業戦略にIT戦略がどのようにビルトインされているかチェックする必要がある。

3.ITガバナンスに係る監査上のチェックポイント

  • 業務の重要性に応じて、取締役がIT活用に関するリスクを認識しているか。
  • リスクの影響を部門横断的に把握できる仕組みがあるか。
  • 情報システムの長時間機能停止などの緊急事態にも対応できる体制をとっているか。

4.ITガバナンスの目的とは

  • 対外的目的(要素は企業価値向上および社会的責任の履行)。
  • 対内的目的(要素は業務の有効性と効率性の達成および事業・業務継続の確保)。
  • 内外2つの目的を実現させるために、4つの要素を全体サイクルとして機能させること。

5.ITガバナンスの構成要素

  • IT利活用をめぐる組織風土の健全性の確保とその監視。
  • 経営戦略としてのIT戦略の明確化とその監視。 経営リスクとしてのITリスクの評価とその監視。
  • IT管理方針・体制の整備とその監視。
  • ITプロセスの定期的チェックとその監視。
    • なお
  • ITガバナンスの構成要素は、体系性をもった「一連のチェーン」である。
  • 監視とは取締役による相互監視と監査役による独立的監視・検証である。

【各論    監査役としての着眼点】

1.監査役がIT監査を実施する上でチェックすべき項目

  • ITの利活用を巡る組織風土の健全性が確保されているか―これが全ての構成要素の土台。
  • IT戦略の明確化がなされているか―具体的には、長期的な経営ビジョンに基づく事業戦略とIT戦略の整合性の確保・IT戦略が内包するリスクの認識・戦略を実現するために必要なIT投資に関する意思決定等が明確か。
  • 経営リスクとしてのITリスクの評価(ITリスクの連鎖・派生を含めて)―ITリスクは取締役が対処すべき経営リスクであり、全取締役によるリスク認識の共有化とリスク対処についての相互監視の状況はどうか。
  • IT管理方針・体制の整備―取締役から管理者層への指揮・命令体制はどうか。
  • IT管理プロセスの定期的チェック―IT管理結果報告・ユーザー管理者からの報告システム機能変更・運用体制変更等への対応はどうか。

2.会社法内部統制システム面でのリスク認識と監査役の対応

リスクの所在:
  • ITの利活用を巡る組織風土の健全性が確保されているか―これが全ての構成要素の土台。
  • IT戦略の明確化がなされているか―具体的には、長期的な経営ビジョンに基づく事業戦略とIT戦略の整合性の確保・IT戦略が内包するリスクの認識・戦略を実現するために必要なIT投資に関する意思決定等が明確か。
  • 経営リスクとしてのITリスクの評価(ITリスクの連鎖・派生を含めて)―ITリスクは取締役が対処すべき経営リスクであり、全取締役によるリスク認識の共有化とリスク対処についての相互監視の状況はどうか。
  • IT管理方針・体制の整備―取締役から管理者層への指揮・命令体制はどうか。
  • IT管理プロセスの定期的チェック―IT管理結果報告・ユーザー管理者からの報告システム機能変更・運用体制変更等への対応はどうか。

3.「ITへの対応」と監査

IT監査に必要な着眼点:
  • 会場の様子
    会場の様子
    経営者に適切なIT戦略・計画があるか。
  • 内部統制整備に際して経営者にIT環境の理解と、これを踏まえた方針があるか。
  • ITを利用することによる新たなリスクが考慮されているか。
  • 全般統制・業務統制・ITによる業務処理統制についての方針・手続きが適切か。
  • 要は効果的にITが利用されているかどうか、取締役全員がITのリスクについて同じ認識でいるか、大局的に見ることが肝要である。

以上