R5 AU PM2-1 データ利活用基盤の構築に関するシステム監査について

bear-crow


1.データ利活用基盤の構築の概要、目的、及びその基盤が必要となる理由について

1.1データ活用基盤の構築の概要及び目的について
 Z社は自社開発のネットワーク機器を販売、設置を自社にて行う通信事業者である。Z社では、運用支援やインシデント対応(以下、これらをサービス対応という)を実施している。
 Z社では、主要な商材である自社のネットワーク機器がクラウド技術の台頭により売れ行きが頭打ちであった。そこで、サービス対応の内容を販売促進につながるようにし、これを新たな販路とすることで、売れ行きを回復する経営戦略とする予定である。
 Z社のデータ利活用基盤の構築にあたって、サービス対応を実施するZ社技術部がデータの収集元となるデータを提供し、Z社開発部が利活用できるプラットフォームとなるデータ基盤(以下、データ利活用基盤という)を開発し、Z社営業部が営業活動に利活用をする予定である。
1.2データ利活用基盤が必要となる理由について
 Z社では、サービス対応から新たなニーズを掘り起こしがないわけではなかった。ただし、特定の人にのみ偏るような状態であった。このような特定の人のみが対応可能な業務の属人化は、Z社の営業業務全般において、解消することを経営課題としていた。
 このため、データ利活用基盤の活用によって、誰でも品質が一定なサービス対応の営業活動への支援が可能となることは、営業活動の属人化解消の一歩となる。このため、Z社にとっても重要な位置づけとなる。
 私は、Z社の監査室のシステム監査人の立場で、構築段階にあるデータ利活用基盤の監査を実施する者である。
700-1400

2.データ利活用基盤の構築に際して、想定すべきリスクについて

2.データ利活用基盤の構築に際して、想定すべきリスクについて
 設問アで述べたデータ利活用基盤の構築について、データの保全のみならず、運用段階を見据えたデータそのものの利活用についての視点がない場合に稼働したデータ利活用基盤の利活用から得られる新販路について支障が生じると考えた。この考えに基づき、私が想定すべきリスクは以下の通りである。
2.1 収集目的の不明瞭さから生じるリスク
 データ利活用基盤の構築にあたって、収集するサービス対応の内容について、利活用する営業部が営業活動に有効と考える明確な基準がない場合、分析された情報は営業活動の判断を誤る支援内容となりうる。
2.2 複数部門にまたがる情報システムに関するリスク
 データ利活用基盤は、情報元として技術部、システムの構築はZ社情報システム部、そして運用、及び要件や要望の提示は営業部が実施する。複数部門にまたがる情報システムは責任や対応部門があいまいな場合、構築に当たって、データの品質を維持、改善に支障が生じ、結果として期待した営業活動の支援が得られないリスクが生じる。
2.3 データ管理に関するリスクについて
 データ利活用基盤について、収集し、加工したデータはZ社の営業秘密に相当する。このため、このデータに関する保護やアクセス制限などの、データセキュリティが十分に検討されていない場合、情報漏洩につながりうるリスクとなる。
 また、データ利活用基盤が有するデータ管理が、機密性や完全性の観点からのみではなく、可用性も十分に検討されていない場合、利活用の有効性の確保が阻害されるリスクとなる。
 以上が、私が検討したデータ利活用基盤の構築に際して、想定すべきリスクである。
1400-2100

3.データ利活用基盤が適切に構築されているかどうかを確かめるための監査手続について

3.データ利活用基盤が適切に構築されているかどうかを確かめるための監査手続について
 設問イで述べたリスクについて、私は以下のように確認すべき点と監査手続を設定した。
3.1 収集目的の不明瞭さから生じるリスクについての監査手続
 収集目的の不明瞭さから生じるリスクについては、利活用をする営業部が、収集するデータについての明確な基準がコントロールとして有効と考えられる。そこで、収集するデータの基準は明確かつ適切か、という確かめるべきポイントを設定した。監査手続としては、営業部が作成したデータ利活用の企画書を査閲して、収集するデータの基準の明確性を得る、を策定した。また、基準の適切性に関しては、営業部が作成したデータ利活用の企画書の基準に該当する部分を査閲し、収集するデータの基準の適切性を示す監査証拠を得る、を策定した。
3.2 複数部門にまたがる情報システムに関するリスクについての監査手続
 複数部門にまたがる情報システムのリスクについては、責任や対応部門が文書などで明示されているコントロールが有効と考えられる。そこで、責任や対応部門などが文書などで明示され、周知されているかを確認すべきポイントとして設定した。監査手続としては、データ利活用基盤の構築に関する組織図を入手し、会議議事録などのドキュメントと照合し、責任や役割が明示されていることを示す監査証拠を得る、を策定した。また、その責任や役割が周知されているかを、組織図を基に各要員にインタビューを実施し、周知徹底を示す監査証拠を得る、を策定した。
3.3 データ管理に関するリスクについての監査手続について
 データ管理に関するリスクについては、利活用するデータが十分にアクセス制御や不正アクセスに対する保護を実施するコントロールが有効と考えられる。この為、利活用するデータが十分にデータ保護がされているか、という確認すべきポイントを設定した。監査手続としては、Z社が規定する営業秘密に該当するデータ保護の対応が実施されているかを、Z社情報データ保護規定と照合し、データ保護の十分生を得る、を設定した。
 また、当該データについて、利活用の観点からアクセス権限や利用可能なユーザーについて検討しているかを確認する必要があると考え、追加の監査手続として、各要員にインタビューを実施し、利活用の観点からデータ保護を策定しているかを示す監査証拠を得る、を策定した。
 以上が、検討したデータ利活用基盤の監査手続である。
 






























































.

いいなと思ったら応援しよう!