![](/content/dam/pwc/jp/ja/knowledge/thoughtleadership/2024/assets/image/only-prop-a471445476.jpg/jcr:content/renditions/cq5dam.thumbnail.319.319.png)
ISMAPから考えるデジタルサプライチェーン管理
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
ITガバナンスとは企業がその経営戦略の実現に向けて、ITリスクを適切に管理しつつ、IT資源を有効かつ効率的に利用するための仕組みと言えます。
ITの適切な利用がビジネスの成否を左右しかねない状況において、適切なITガバナンス態勢を構築することは、企業経営において常に課題として認識されているものの、形式的な対応にとどまっている企業が多く見受けられます。
これらの課題を適切に認識・対応し、態勢を強化するには、ITの専門性に加え経営観が必要となります。昨今の厳しい経営環境下、そのような専門性を自社内で維持できていないケースも多く、ITガバナンスやシステムリスクの課題に対して、経営環境や事業戦略に応じた合理的対処ができているか不安を持たれている経営者も多いと考えられます。
上に課題の一例を挙げました。その内容や大小は、企業の状況に応じて多岐にわたっています。
また、それらの課題は一企業内の課題にとどまらず、グループ企業、外部委託先、協力会社といった複数の利害関係者に関連するものも少なくありません。
ITガバナンスやシステムリスクの課題認識には、利害関係がない外部の専門家による客観的かつ適切な評価が有効です。また、実際の改善策の立案、実行においては、利害が錯綜することにより充分に対応しきれないケースも多く、外部の専門家を活用することにより、妥協を極力排除し、その実効性を高めることができます。
PwC Japan有限責任監査法人には、情報システムの企画、構築、運用等の実務経験を有し会計監査等の制度対応業務とITガバナンス構築支援業務の双方を経験した者が多数在籍しており、机上の理論や表面上の制度対応だけではなく、実務に即した支援を行います。
IT資源を有効かつ効率的に利用するための態勢を構築するためには、一時的な対応ではなく、中長期的視点により段階的に対応を進める必要があります。
PwC Japan有限責任監査法人では、ITガバナンスやシステムリスクへの対応状況に対する現状調査から、課題の特定や評価、改善策の立案、また態勢構築の支援まで、個別対応や全体最適化など、ITガバナンスの成熟度に応じたサービスを提供することで、より高いレベルの経営環境整備・ITガバナンス態勢の構築を支援します。
ビジネス戦略を反映したIT投資の実現/適切なITポートフォリオの実現/IT部門の効率化/アウトソーシングの活用/部門システムの適切な管理/ITインフラ整備の適切化 等
IT投資の削減/開発するシステムの業務要件充足度の担保/ベンダーの適切な管理/システム開発リスクの低減 等
IT投資の削減/ベンダー管理/ベンダー費用の削減 等
重要なリスクの認識、評価、対応策の策定/実行、見直しの支援 等
PwC Japan有限責任監査法人では、ご依頼の内容に応じ、さまざまなアプローチで支援します。
比較的短期間で、組織のITガバナンスやシステムリスクの現状を調査し、改善に向けて注目すべき領域の特定を行います。
これにより、ITの利用、管理に関するさまざまな課題を抱えている企業において、どの分野にどんな問題や課題があり、どういう優先順位で対応すべきかを明確にします。
例えるなら、全体を鳥瞰して患部を見つける人間ドックのような診断です。
ITガバナンスの代表的な領域(戦略立案・計画策定、実現(Implementation)、管理(運用・保守)、外部委託、等)についての詳細な評価を行い、改善策を提案します。
システムリスクに対しては、重要なリスクがどのように認識され、対応されているかというプロセスについて詳細な評価を行い、改善策を提案します。
これにより、個々の問題に関する原因の特定が可能となり、抜本的な対応の方針が明確になります。
例えるなら、患部の詳しい状態を調べ、治療方針を検討するための精密検査といった役割となります。
改善提案を実現するためのアドバイザリーサービスを提供し、外部の独立した第三者として、困難な目的を実現するためのファシリテータとしての役割を果たします。
人間ドックや精密検査で明らかになった治療方針に対し、PwC Japan有限責任監査法人の知識・経験を基に、具体的な改善案の実現を支援します。これは精密検査の後の治療といった役割となります。
クラウドサービスやIoT、AIなどのデジタル技術の発展とともに、新たなセキュリティリスクが生じています。本レポートでは、デジタルサプライチェーンのリスクに焦点を当て、ISMAP(政府情報システムのためのセキュリティ評価制度)を活用した効率的な管理方法を考察します。
SECは2023年12月発効の新たなサイバーセキュリティ開示規則により、「重要」と判断されたサイバーインシデントに関する特定の情報の開示を義務付けます。企業が検討すべき、かかる情報の収集から文書化、開示に至るプロセスや手順などについて解説します。
米国証券取引委員会(SEC)は、新たなサイバーセキュリティの開示規則を採択し、2023年12月中旬からの適用を公表しました。このサイバーセキュリティ開示規則は、米国企業のみならず、米国外の企業にも適用されるため、SECに上場している日本企業にも対応が迫られます。
PwC Japanグループは、2024年春にも運用が始まる経済安全保障推進法の事前審査制度に備え、日本企業の対応を包括支援するサービスを始めます。
本稿では、企業がDXを進めるための行動指針として経済産業省が定めた「デジタルガバナンス・コード」を前提に、企業価値向上に資するサイバーセキュリティ対応のあり方や、その態勢構築のアプローチについて考察します。
経済産業省の「企業価値向上に向けたデジタル・ガバナンス検討会」での政策背景を踏まえながら、「デジタルガバナンス・コード3.0」への準拠にあたり、日本企業における経営者とDX推進担当者が押さえるべき論点を考察します。
多くの企業はDXに取り組む中で、その達成度を図る指標を設けていますが、指針や基準が少ないため、試行錯誤している状況です。DX成果指標にガバナンスを効かせるにあたっての課題や、DX戦略の蓋然性と実効性を高めるためのポイントについて解説します。
内部監査部門では、慢性的な監査要員不足に加え、デジタルガバナンスに関する専門的な知識やスキルの不足が課題となっています。これらの課題への打ち手として、内部監査部門に監査推進事務局(AMO:Audit Management Office)を組成することによる、リスクベース監査にも対応できる効率的な監査態勢について考察します。