![](/content/dam/pwc/jp/ja/knowledge/column/spa/assets/image/only-prop-a1004826565.jpg/jcr:content/renditions/cq5dam.thumbnail.319.319.png)
企業価値向上に資するセキュリティガバナンスの実現に向けて ──デジタルガバナンスで捉えるべきサイバーセキュリティ管理態勢
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
本サービスは、主にシステム開発プロジェクトを対象としていますが、システム開発以外のプロジェクトにも提供することが可能です。
ミッションクリティカルなシステムの開発、経営統合やシステム統合を行っている金融機関を中心に、多くの実績があります。
関係者はプロジェクトが順調に進んでいると思っていたにもかかわらず、実際には実態を把握できておらず、後になって重大な問題が発覚し、失敗するケースがよく見られます。これは、社内にベンダーを監督できる人材がいないため、ベンダーに任せきりになっていることが主な要因です。オフショア開発など、ベンダーが開発を再委託している場合、実態を把握することはより困難になります。
本サービスでは、クライアントのプロジェクトメンバーやベンダーと異なる第三者の目線からプロジェクトの運営状況を評価し、認識した問題に対する助言を行うことで、クライアントのプロジェクトの成功を支援します。
本サービスは、実行中のプロジェクトだけでなく、終了したプロジェクトの事後評価として活用いただくこともできます。過去のプロジェクトの問題を抽出し、今後、クライアントで新たに取り組むプロジェクトを成功させるための提言を行います。
また、個別のプロジェクトのみならず、同時並行で進めている複数のプロジェクトを統合するプログラム管理に対しても提供可能です。
クラウドなど、新たな開発方法を採用しているプロジェクトに対して、開発方法の評価や助言を行うことも可能です。
本サービスは、プロジェクトに対して継続的に評価するOn-Going評価と、特定の時点におけるプロジェクトの状況に対して評価を行う定点評価の二つのアプローチで行います。一方のアプローチのみを採用することも可能ですが、両方のアプローチを採用することで、より効果的な評価ができます。
プロジェクトにおいて、作業の手戻りは最も避けなければならない問題の一つです。これを回避するための対応として、プロジェクトは日々の活動とは別に、工程完了時やプロジェクト終了前などの重要なマイルストーンにおいて、ビジネス戦略との整合性がとれているかどうかをはじめ、プロジェクトの状況をさまざまな角度から確認し、マネジメントが中心となって、先に進めてよいか否かを審査することが必要です(ステージゲート)。この時、解決が困難な問題を抱えている場合には、プロジェクトの計画(マスタスケジュール、スコープなど)を見直すなどの意思決定が求められます。しかしながら、繁忙で審査の準備に費やす時間がない、日程が厳しく次の工程の作業に着手しないと遅延するなどの理由で、審査が機能していないプロジェクトが多くあります。
本サービスでは、ステージゲートの計画(手続き、観点)や実施状況について、評価・助言を行います。審査の一連のプロセスを評価するだけでなく、証拠・根拠を踏まえて実態に基づく審査が行われているかという観点の評価も行います。
システム開発プロジェクトは、システム構築作業に注目が集まりやすいため、システム本番稼働後の業務運用の準備が後手に回りがちです。また、準備が進んでいるように見えても、内部統制に精通した人員が不足しているために、適切な内部統制が整備されていないケースがあります。
本サービスは、事務リスク、システム運用リスクなどへの対応として有効な内部統制がシステムの機能に実装されているか、運用面で考慮されているかについて、評価を行います。
業界や国などが定める規制の要求事項への対応状況を評価することも可能です。
システム開発をベンダーに委託するにあたって、ベンダーの見積りは妥当なのか、削減可能なコストは存在するのかといった悩みをお持ちではないでしょうか。社内にベンダーの見積りを評価できるノウハウが無いため、疑問を抱きつつも吟味できないケースがあります。逆に、過剰な値引きを要請してしまったために、ベンダーが必要な人員を確保できず、品質低下を招いてしまうケースもあります。
本サービスは、ベンダーから見積りの根拠となる資料(例えば工数見積りの方法、工数見積りの明細、人月単価など)を入手し、見積りの合理性を評価します。本サービスの結果は、ベンダーへの見積り金額削減の交渉材料や、マネジメント、外部のステークホルダーに対する説明に活用いただけます。
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
DXに関する情報をステークホルダーの信頼に足る形で開示し、持続的な企業価値創造のためのイノベーションを実現するために必要なデジタルガバナンスおよび、DXに係る情報の開示のあるべき姿について考察します。