サービス

ITリスクマネジメント対応支援

昨今、企業におけるITの依存度が高まるにつれて、ITに係るリスクの網羅的な把握や低減が重要課題となっています。「ITリスクマネジメント関連サービス」では、ITに係るリスクの網羅的な把握、あるいは把握されたリスクに対する改善活動をご支援いたします。

システム品質管理プロセスの改善支援

品質の悪いシステムを使用することは、その対象業務が重要であればあるほど、大きなリスクとなります。そして、システム品質は、システム開発プロセスの品質と関係しています。

本サービスでは、システム開発方法論(SDLC)における品質管理手法に着目し、その改善をご支援することで、システム品質の改善を図ります。具体的には、品質指標の設定、モニタリングスキームの検討、工程終了判定基準の策定、各種コミュニケーションなどが挙げられます。 

システム品質管理プロセスの枠組み

システムリスク管理態勢の整備支援

金融機関では、業務プロセスおよび役職員の活動が不適切であること等により損失を被るリスク業務処理にかかるリスクをオペレーショナルリスクと定義し、その中でもITに起因するものを「システムリスク」と呼んでいます。金融庁は各金融機関に対して、システムリスク管理態勢の整備・運用を期待しており、銀行、証券会社、保険会社等は、それぞれに応じた管理態勢を構築する必要があります。
本サービスでは、システムリスク管理に関する金融庁及び関連当局の要請を踏まえたうえで、効果的な管理態勢の構築・運用をご支援いたします。

リスク管理態勢のあるべき姿
あるべきリスク管理態勢では、リスクに対するコントロールの実施主体として「各部門(リスク主管部門)」「リスク管理推進部門」「内部監査部門」の3層を定義します。エンタープライズリスクサービスでは、3層における役割を明確にしたうえで、態勢を整備することを推奨しています。 

リスク管理態勢のあるべき姿

システム内部監査に係る外部品質評価

現在の企業においては、保有するIT環境に対し、様々なモニタリング(システム内部監査)が行われています。一例としては、内部監査部によるシステム開発プロセスや運用・保守業務の整備状況・運用状況の確認やネットワークの脆弱性調査などが挙げられます。その一方で、ITに起因した様々な問題(システム障害の発生による業務停止、不正アクセスによる情報漏えい等)は現在もなお発生し続けています。

上記の一因として、システム内部監査が多種多様なITリスクに対し、網羅的かつ効果的に実施されていないということが考えられます。内部監査実施部門は、日々刻々と移り行くITリスクに対し、監査戦略や戦術を変化させていく必要があります。

本サービスでは、企業のシステム内部監査態勢に対して、定期的にその十分性や有効性を評価することで、品質を継続的に向上させることをご提案いたします。なお、評価作業は、内部監査人協会の「内部監査の専門職的実施の国際基準」をもとに、 デロイト トーマツ グループの知見・経験を踏まえて行います。

品質評価のフレームワーク

エンタープライズリスクサービスでは、システム内部監査の品質評価として、以下の6つの観点を用います。
独立性
・客観性
・組織上の位置づけ
・利用可能な資源
・組織構成
・予算

専門的能力
・スキル
・専門家
・深度
・トレーニング
・監督

業務範囲
・リスクの視点
・財務関連
・業務
・コンプライアンス
・変化への対応

管理
・内部監査規程
・計画
・方針
・人員管理
・品質保証

報告書の作成と報告
・所見と分析結果の作成
・基準への準拠性への意見
・結果の伝達