Transcript 講義資料 - 堀山研究室

基本情報技術概論 II (第４回)
マネジメント・ストラテジ
マネジメント / 監査
情報処理技術者試験
http://www.jitec.jp/
基本情報 午前の問題
全部で
80 問
マネジメント系
10 問
ストラテジ系 _____
20 問
埼玉大学 理工学研究科
堀山 貴史
システム開発技術の分野等も
関連している
1
マネジメント (経営管理)

企業の経営資源 … 人、もの、金 + 情報
マネジメント
… 経営資源の活かし方

マネジメント (ピーター・ドラッカーによる定義)

組織に特有の使命、目的を果たすこと
 仕事を通じて働く人たちを生かすこと
 社会の問題について貢献すること
これらを達成するための考え方、手法、実践

ピーター・ドラッカー ： 1909 ～ 2005。 マネジメントの父、とも
呼ばれる経営学者・社会学者。経営に関する様々な概念を提案

マネジメントの基本プロセス ： PDCA サイクル
Plan (計画)
Do (実行)
________________
Check (検証)
Action (改善)
2
企業組織
監査役設置会社
株主
監査役会
(監査役)
業務監査
会計監査
取締役会
(取締役)
執行役員
内部監査
管理者層
担当者層
出資額での有限責任を負う
所有と経営の分離 ：
経営は、経営能力の
ある人に委任
会社の戦略を決定
各部門の業務を執行
(取締役であることが多い)
各レベルで、レベルに
応じた PDCA サイクルを
実践
3
委員会等設置会社
企業組織 (アメリカ型の組織形態)
取締役会
会社の戦略を決定
(取締役)
監査・監督
執行役
意思決定と執行を分離
_____
各部門の業務を執行

内部監査
CEO
_____

管理者層



日本では、会長は創業者や前社長の
名誉職であることが多い。CIO は、単に
情報部門長を意味する場合もある。
最高経営責任者
多くは、会長や社長
COO
_____

担当者層
(Chief Executive Officer)
(Chief Operating Officer)
最高執行責任者
CIO
_____
(Chief Information Officer)

(戦略) 情報統括役員

経営戦略の一部として
I T 戦略を立案、実行
4
より良い経営のために…

コーポレート ガバナンス … 企業価値最大化・企業理念実現
のため、企業経営を律する仕組み

内部統制 … 経営戦略や事業目的を、組織として機能させ、
達成するための仕組み

リスク マネジメント (リスク管理) … 経営理念や事業目的に
照らして経営に重大な影響を及ぼすリスクを認識・対応する

コンプライアンス (法令遵守/じゅんしゅ)
法令や実務基準、社内規則、企業論理に従って活動する

アカウンタビリティ (説明責任)
法令等を守っている事を、対外的に説明する責任がある

I T ガバナンス
企業が競争優位性構築を目的に、IT戦略の策定・実行を
コントロールし、あるべき方向へ導く組織能力
5
I T 関連の マネジメント / 監査


マネジメント
 プロジェクト マネジメント (含 リスク マネジメント)
 サービス マネジメント
システム監査
参考
I T経営ポータル (経済産業省)
http://www.meti.go.jp/policy/it_policy/it_keiei/
C I O の機能と実践に関するベストプラクティス
http://www.meti.go.jp/press/20051221001/2-cio-set.pdf
@ I T 情報マネジメント 用語辞典
http://www.atmarkit.co.jp/im/terminology/
6
プロジェクト マネジメント


プロジェクト … 目標達成のために行う有期の活動
プロジェクト マネージャ


情報システム開発プロジェクトの責任者として、
プロジェクトの計画を作成し、
要員などプロジェクト遂行に必要な資源の調達、
プロジェクトの体制の確立および
予算・納期・品質などの管理を行い、
プロジェクトを円滑に運営する者
PDCA サイクルで、プロジェクト マネジメントを実施
Plan (計画)
Do (実行)
Check (検証)
Action (改善)
7
プロジェクト マネジメント (９エリア)

統合マネジメント


スコープ マネジメント


所定の時期 (納期) に完了させる
________________
コスト
マネジメント


必要な作業を過不足なく含める
タイム マネジメント


各エリアを統合的に管理、調整する
予算内で完了させる
品質マネジメント
________________

→ ファンクションポイント法、
COCOMO など
(品質管理、品質保証)
顧客ニーズを満たすために、品質方針、目標、責任を
定め、必要なプロセスを実施する
→ ベンチマーク、ウォークスルー、レビュー、テスト
8
プロジェクト マネジメント (９エリア)

________________
人的資源マネジメント


コミュニケーション マネジメント


プロジェクト情報の生成から配布、廃棄までを適切に
行うことで、人と情報を結びつける
________________
リスク
マネジメント


プロジェクトチームのメンバがそれぞれの役割と責任を
まっとうすることで、チームとして機能させる
プロジェクトのマイナス要因の発生確率と影響を
低減させる
(→ 詳細は、次のページ以降)
調達マネジメント

必要な資源やサービスを外部から購入/取得するために
必要な契約やその管理
9
リスク マネジメント

リスク
ぜいじゃく
 脅威が情報資産の脆弱性を利用して、
情報資産への損失や損害を与える可能性

脅威


自然災害、システム障害、人的資源、不正行為など
損失/損害
 直接損失 … 障害、盗破壊、盗難など
 間接損失 … 業務の中断、信用損失
 対策費用 … 復旧費用、リスク対策費用
10
リスク マネジメント


純粋リスク … 損失だけを生む可能性のあるリスク
投機的リスク … 損失と利益を生む可能性のあるリスク

リスク マネジメント
 費用対効果を考え、優先順位をつけて対処する

リスク分析


可能性のあるリスクを洗い出し、影響度を分析
分析対象の把握 → 脆弱性の発見と識別
→ 損失額の予想 → 損失の分類と影響度の分析
→ リスク対策の検討・評価と優先順位の決定
11
リスク マネジメント (対策)

リスク
ファイナンス
________________

リスクが現実化した場合の対策
損失の補填や対応費用を確保しておく

リスク移転
________________



リスク保有
________________


保険加入により、保険会社に補填させる
自己負担により、損失補填する
リスク
コントロール
________________


リスクの現実化を防ぐための事前策
技術的/物理的対策などにより、リスク発生を防止し、
損失を軽減する
12
コンティンジェンシー
________________

プラン
緊急時対応計画
 リスクが現実化した場合を想定し、損失/損害を
最小限にするために定めた対応策/行動手順
 損害の規模とリスクの発生確率を加味して策定
リスク発生時の各メンバーの行動指針や行動計画
 顧客やマスコミへの対応方針
リスク 指針
 業務や機能の継続/復旧作業の優先順位
発生
 代替設備/業者の用意
後の
対策
 安全在庫の確保
例) 情報漏洩： ２次被害の防止、原因追究、顧客対応の観点で策定

参考 ： ＠ I T 情報マネジメント / コンティンジェンシー プラン
http://www.atmarkit.co.jp/aig/04biz/contingencyplan.html
13
サービス マネジメント
14
サービス マネジメント

I T サービス マネジメント (ビジネスと I T 技術の掛橋)
 サービス提供者が、利用者へのサービスの品質を
維持・向上させるため、情報システムの
維持管理・効率的な運用・改善を行う仕組み
 I T I L (Information Technology Infrastructure Library)
_______
車の
両輪

I T サービス マネジメントのガイドライン
 SLA (サービスレベル契約 / Service Level Agreement)
_______
サービスの品質に関する利用者と提供者の契約
 品質、範囲、提供者と利用者の責任を明確化する


PDCA サイクルで、サービス マネジメントを実施
15
参考 ： 関連する国際規格 ISO 20000
ITIL




(Information Technology Infrastructure Library)
I T サービス マネジメントの ベスト プラクティス集
(ノウハウを体系化したガイドライン)
I T I L v2 は、主に以下の２つの観点
サービス サポート
 日々の運用手法
 ５プロセス + １機能
サービス デリバリ
 中長期的な観点からの、計画と改善手法
 ５プロセス
参考 ： I T I L の最新は v3 だが、多くの場合に v2 が利用されている 16
ITIL

プ
ロ
セ
サービス サポート (日々の運用手法)
インシデント管理
インシデントの検知から解決までの一連のプロセスで
あり、迅速にサービスを復旧させ、業務への影響を最
小限に抑える。
問題管理
問題の根本原因を突き止め、インシデントの再発防止
のための解決策を提示する。
構成管理
I T サービスを構成するハードウェア、ソフトウェア、
ドキュメントなどの C I (Configuration Item/構成品目)
に関する情報を定義し、正確な構成情報を維持する。
変更管理
C I の変更要求 (Request for Change/RFC) について、
その影響を評価し、承認/却下を決める。変更を安全
確実かつ効率的に実施することが目的。
リリース管理
承認された変更を本番環境に正しく反映させる作業を
コントロールする。
サービスデスク
(ヘルプデスク)
サービスの利用者と提供者の間での一元的な窓口。
適切な部署への引継/対応の記録/記録の管理など。
17
ス
機
能
インシデント ： システム障害など、IT サービス業務を
阻害または低下させる出来事
問題 ：
インシデントを引き起こす根本的な原因
ITIL

サービス デリバリ
サービスレベル
管理 (SLM)
サービスの利用者と提供者の間でのサービスレベル
契約 (SLA / → p.15) をもとに、サービスレベルを管理。
キャパシティ管理
システムがサービスレベルを満たすのに必要な容量
や能力などのキャパシティを管理し、最適なコストで、
現在や将来のシステムの安定稼働を実現させる。
→ CPU 使用率、メモリ使用率、ネットワーク使用率 等
可用性管理
サービス利用者が利用したい時に確実に利用できる
よう、I T サービスを構成する各機能を維持管理する。
→ 可用性、保守性、MTTR
IT サービス
継続性管理
障害時には合意した時間内にシステムを復旧させ、
影響を許容範囲内に抑え、サービス継続性を確実に
満たせるようにする。
IT サービス
財務管理
サービスの提供に必要なコストの予測、実際のコスト
や収益性を管理。 → TCO
プ
ロ
セ
中長期的な観点からの、
計画と改善手法
ス
18
システム監査
19
システム監査

目的

組織体の情報システムにまつわるリスクに対する
コントロールがリスクアセスメントに基づいて適切に
整備・運用されているかを、独立かつ専門的な立場の
システム監査人が検証又は評価することによって、
保証を与えあるいは助言を行い、
もって I T ガバナンスの実現に寄与すること
経済産業省
新「システム監査基準」、「システム管理基準」の公表について
http://www.meti.go.jp/policy/it_policy/press/0005668/ より
20
システム監査 (概要)

「システムがうまく整備・運用されているか」を監査




監査は客観的に




整備・運用ではなく、あくまでも整備・運用のチェック
整備・運用がシステム管理基準に準拠しているか
監査は、システム監査基準に基づいて実施
監査人は、監査対象から独立でなければならない
________________
内部監査 (組織内の監査部門) or
外部監査 (組織外の監査法人など) どちらも ok
監査人は、守秘義務を負う
監査は任意監査 (法定監査では無い)

監査役の業務監査の一環で行われることもある
→ p. 3
21
システム監査 (概要の補足)


情報システムにまつわるリスクのコントロール
その整備・運用の目的




情報システムが、会社の経営方針および
戦略目標の実現に貢献するため
情報システムが、会社の目的を実現するように
安全、有効、かつ効率的に機能するため
情報システムが、内部または外部に報告する
情報の信頼性を保つように機能するため
情報システムが、関連法令、契約または
内部規定等に準拠するようにするため
22
システム監査の手順



参考
監査計画 (目標、時期、監査内容、監査範囲など)
監査実施
 予備調査 (本調査を効率的に行うための実態把握)
 本調査
 評価・結論
監査報告
 経営者への結果説明、改善点の勧告
 改善状況の確認と改善指導 (フォローアップ)
監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は
助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項
について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と
判断した事項を明瞭に記載しなければならない。 (システム監査基準より)
23
しょうこ
しょうせき
監査証拠 と 監査証跡

監査証拠


監査報告書の監査意見を立証する根拠となる事実
監査証跡


時系列でつながった一連の監査証拠
(事象の発生から最終結果に至る過程および
その逆方向の追跡ができる情報)
コントロールが機能していることの証明手段となる
安全性のコントロールに関して
- アクセスログ、オペレーションログ など
 信頼性のコントロールに関して
- テスト結果報告書 など
 効率性のコントロールに関して
- 費用対効果分析表 など

24
25
セキュリティ コントロール

ア)
イ)
ウ)
エ)
情報システムのセキュリティ コントロールを、
予防、検知、復旧の３つに分けた場合、
復旧に該当するものはどれか。
オペレータとプログラマの職務分離
コンティンジェンシープラン
パスワードの利用
メッセージ認証
26
リスク マネジメント

リスクが顕在化しても、その影響が小さいと
想定されるので、損害の負担を受容する
リスク対応はどれか
ア) リスク移転
イ) リスク回避
ウ) リスク低減
エ) リスク保有
27
プロジェクト マネジメント (９エリア)









統合マネジメント
スコープ マネジメント
タイム マネジメント
コスト マネジメント
品質マネジメント
人的資源マネジメント
コミュニケーション マネジメント
リスク マネジメント
調達マネジメント
28
システム監査 (概要)

IT ガバナンス

企業が競争優位性構築を目的に、IT戦略の策定・
実行をコントロールし、あるべき方向へ導く組織能力
(参考) コーポレート・ガバナンス

誰が意思決定を下すのか
 誰が執行するのか

誰が監査するのか
 誰が説明責任を果たすのか
…

経済産業省 IT経営ポータル ITガバナンス
http://www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/
29
30
31
この教材のご利用について




この文面は、TOKYO
TECH OCW の利用
条件を参考にしました
この教材は、以下に示す利用条件の下で、著作権者にわざわざ許諾を
求めることなく、無償で自由にご利用いただけます。講義、自主学習は
もちろん、翻訳、改変、再配布等を含めて自由にご利用ください。
非商業利用に限定

この教材は、翻訳や改変等を加えたものも含めて、著作権者の許
諾を受けずに商業目的で利用することは、許可されていません。
著作権の帰属

この教材および教材中の図の著作権は、次ページ以降に示す著
作者に帰属します。この教材、または翻訳や改変等を加えたもの
を公開される場合には、「本教材 (or 本資料) は
http://www.al.ics. saitama-u.ac.jp/horiyama/OCW/ の教材です
(or 教材を改変したものです」 との旨の著作権表示を明確に実施
してください。なお、この教材に改変等を加えたものの著作権は、
次ページ以降に示す著作者および改変等を加えた方に帰属しま
す。
同一条件での頒布・再頒布

この教材、または翻訳や改変等を加えたものを頒布・再頒布する
場合には、頒布・再頒布の形態を問わず、このページの利用条件32
この教材のご利用について

配布場所

http://www.al.ics.saitama-u.ac.jp/horiyama/OCW/

この powerpoint ファイルの著作者

堀山 貴史 2007-2009 [email protected]

改変等を加えられた場合は、お名前等を追加してください
図の著作者

p. 3, 4
 スマイルマーク : Microsoft Office Online / クリップアート

その他 : 堀山 貴史

33