R5 2-1 データ利活用基盤の構築に関するシステム監査について
1.データ利活用基盤の構築の概要、目的、及びその基盤が必要となる理由について
1.データ利活用基盤の構築の概要、目的、及びその基盤が必要となる理由について
Z社は、自社開発のネットワーク機器及びサービスを販売する通信事業者である。Z社では、自社商品の運用やインシデント対応など(以下、これらをサポート対応という)をZ社技術部にて一括で行っている。
1.1 概要及び目的
Z社技術部のサポート対応は、他社との差別化を図る目的で、全社的に新しい試みや技術を優先的に取り入れている。
従来は、技術部管理課に在籍する数名がデータ分析を行い、Z社技術部の指針となる情報化を実施していた。また、データの抽出も、サポート対応の開始から完了までを管理するデータベース(以下、サポート対応DBという)を保守するシステム管理課に依頼をし、ファイルとして渡されていた。
サポート対応の改善は全社的な課題であること、また市場環境においても迅速かつ精度の高いデータ分析が、必要とされていた。
そこで、従来のデータ分析手法の改善を目的としてZ社技術部は、サポート対応DB内の有意なデータ抽出、分析し、サポート対応のより一層の改善に役立たせるサポート対応データ基盤である「R」(以下、Rという)を設計、稼働させた。
1.2 必要となる理由
Z社経営陣は、商材や環境の変化に対応する為、各業務の属人化を脱し、業務の標準化を進め、かつスペシャリストの育成を全社的に進める必要性を感じていた。
データ分析においても、従来の手法では技術部管理課に在籍する数名のみが対応可能で、かつ各自の経験やスキルに依る部分が多く、属人化が危惧されていた。
この為、Rの利活用はZ社の標準化の目標にも合致すると考えられた。
750-1450
2. データ利活用基盤のリスクについて
1.データ利活用基盤のリスクについて
私は、Z社のシステム監査部門に勤務するシステム監査人である。Rは、設計、開発を終え、稼働段階に移行する。これを受け、Rの稼働に当たり、Z社技術部及び関連部署が十分なリスクアセスメント及びそのコントロールが図られているかを第三者的な立場から検証させるために、私が監査の実施をすることとなった。
監査に当たって、私はデータのみのセキュリティだけに偏らないようにすべきと考えた。そこで、Rに関するリスクには、大きく分けて利活用をする人に関わるリスクと、データに関わるリスクに分けられると考えた。私は、以下のようにリスクを検討した。
1.1 人に関するリスク
(1)組織としての一貫性のリスク
今回のRの利活用は、Z社のサポート体制の強化及び他社との差別化という経営戦略に関わるものであるが、この戦略との整合性が取れない場合、目標達成ができない。
(2)予測の精度に関するリスク
Rのデータ利活用に当たって、データ分析が十分でない場合、サポート対応の改善がうまく進まない。
(3)属人化のリスク
Rの利活用にあたって、特定の経験・スキルに依存すると経営課題である属人化を脱することができない。
2. データに関わるリスク
(1)重要情報の漏洩のリスク
Rが持つデータは、Z社にとって機密情報にあたる。この為、この情報が漏洩すると、ステークホルダーの信頼の失墜を招くこととなる。
(2)情報の陳腐化のリスク
変化する状況や環境に合わせ、利活用する情報の見直しが図られないと、情報が陳腐化しサポート対応の品質が劣化する。
1425-2125
3. データ利活用基盤が適切に構築されているかどうかを確認する為の監査手続について
1.設問イで述べたリスクに対しての監査手続について
私は、設問イで述べたそれぞれのリスクについて、次の監査要点及び監査手続を設定した。
1.1 人に関するリスクについての監査手続
(1)組織としての一貫性に関しての監査手続
組織としての一貫性は、Rの運用段階の利用用途や目標を設定している資料を入手して精査するという監査手続を設定した。この資料の中で、利用用途や目標の設定の策定が、Rの実行責任者である技術部部長や管理課課長といった権限者の承認、及びその利活用に経営戦略に十分に沿い、相反することがないかどうか、組織としての一貫性を示す監査証拠を得る。
(2)予測の精度に関しての監査手続
予測の精度の妥当性に関しては、R利活用にあたって、データ収集の範囲や期間の設定、及びデータ分析において問題ないかを技術部管理課課長にヒアリングを実施するという監査手続を設定した。これにより、予測の妥当性を示す監査証拠を入手する。
(3)属人化の関しての監査手続
属人化に関してのリスクに関しては、その利活用をする人員のスキルが明確であるか、また利活用の際のマニュアルが標準的な人員で対応可能であるかどうかを確認する必要がある。これに関しては、Rを利活用する人員に求めるスキルや資格などが検討した資料の入手とこの人員の教育計画を検討した資料を入手し精査するという監査手続を設定した。また、技術部管理課が作成したR操作のマニュアルを入手し、Rを利活用する管理課メンバの中で、最も経験年数の少ないメンバにヒアリングを実施するという監査手続を設定した。これによりR利活用に際し、特定のスキル・経験に依るか否かを示す監査証拠を得る。
2. データに関するリスク
(1)重要情報の漏洩の関しての監査手続
重要情報の漏洩に関するリスクに関しては、サポート対応DBから抽出したデータ及びRのデータへのアクセスがZ社が作成したデータ管理ルールに基づいて管理されているかを確認する。また、データへのアクセスの権限設定や、利用するユーザー制御の詳細をサポート対応DB及びRの設定を確認するという監査手続を設定した。これによりデータ管理ルールの準拠性及びアクセス制御の適切性を確認する。
(2)情報の陳腐化の関しての監査手続
Rの利活用にあたって、定期的に情報や運用の見直しが図られているかを確認する。これについては、技術部のRに関しての運用会議の議事録を精査するという監査手続を設定した。併せて、技術部管理課課長にヒアリングを実施し、情報の見直しに関し適切な観点で見直しを検討しているかを確認するという監査手続を設定した。これにより、情報の陳腐化に対する対応が適切か、を確認する。
以上が、Rの利活用の適切性に関する監査手続である。
以上
この記事が気に入ったらサポートをしてみませんか?