基本情報技術概論 II (第4回) マネジメント・ストラテジ マネジメント / 監査 情報処理技術者試験 http://www.jitec.jp/ 基本情報 午前の問題 全部で 80 問 マネジメント系 10 問 ストラテジ系 _____ 20 問 埼玉大学 理工学研究科 堀山 貴史 システム開発技術の分野等も 関連している 1 マネジメント (経営管理) 企業の経営資源 … 人、もの、金 + 情報 マネジメント … 経営資源の活かし方 マネジメント (ピーター・ドラッカーによる定義) 組織に特有の使命、目的を果たすこと 仕事を通じて働く人たちを生かすこと 社会の問題について貢献すること これらを達成するための考え方、手法、実践 ピーター・ドラッカー : 1909 ~ 2005。 マネジメントの父、とも 呼ばれる経営学者・社会学者。経営に関する様々な概念を提案 マネジメントの基本プロセス : PDCA サイクル Plan (計画) Do (実行) ________________ Check (検証) Action (改善) 2 企業組織 監査役設置会社 株主 監査役会 (監査役) 業務監査 会計監査 取締役会 (取締役) 執行役員 内部監査 管理者層 担当者層 出資額での有限責任を負う 所有と経営の分離 : 経営は、経営能力の ある人に委任 会社の戦略を決定 各部門の業務を執行 (取締役であることが多い) 各レベルで、レベルに 応じた PDCA サイクルを 実践 3 委員会等設置会社 企業組織 (アメリカ型の組織形態) 取締役会 会社の戦略を決定 (取締役) 監査・監督 執行役 意思決定と執行を分離 _____ 各部門の業務を執行 内部監査 CEO _____ 管理者層 日本では、会長は創業者や前社長の 名誉職であることが多い。CIO は、単に 情報部門長を意味する場合もある。 最高経営責任者 多くは、会長や社長 COO _____ 担当者層 (Chief Executive Officer) (Chief Operating Officer) 最高執行責任者 CIO _____ (Chief Information Officer) (戦略) 情報統括役員 経営戦略の一部として I T 戦略を立案、実行 4 より良い経営のために… コーポレート ガバナンス … 企業価値最大化・企業理念実現 のため、企業経営を律する仕組み 内部統制 … 経営戦略や事業目的を、組織として機能させ、 達成するための仕組み リスク マネジメント (リスク管理) … 経営理念や事業目的に 照らして経営に重大な影響を及ぼすリスクを認識・対応する コンプライアンス (法令遵守/じゅんしゅ) 法令や実務基準、社内規則、企業論理に従って活動する アカウンタビリティ (説明責任) 法令等を守っている事を、対外的に説明する責任がある I T ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・実行を コントロールし、あるべき方向へ導く組織能力 5 I T 関連の マネジメント / 監査 マネジメント プロジェクト マネジメント (含 リスク マネジメント) サービス マネジメント システム監査 参考 I T経営ポータル (経済産業省) http://www.meti.go.jp/policy/it_policy/it_keiei/ C I O の機能と実践に関するベストプラクティス http://www.meti.go.jp/press/20051221001/2-cio-set.pdf @ I T 情報マネジメント 用語辞典 http://www.atmarkit.co.jp/im/terminology/ 6 プロジェクト マネジメント プロジェクト … 目標達成のために行う有期の活動 プロジェクト マネージャ 情報システム開発プロジェクトの責任者として、 プロジェクトの計画を作成し、 要員などプロジェクト遂行に必要な資源の調達、 プロジェクトの体制の確立および 予算・納期・品質などの管理を行い、 プロジェクトを円滑に運営する者 PDCA サイクルで、プロジェクト マネジメントを実施 Plan (計画) Do (実行) Check (検証) Action (改善) 7 プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント 所定の時期 (納期) に完了させる ________________ コスト マネジメント 必要な作業を過不足なく含める タイム マネジメント 各エリアを統合的に管理、調整する 予算内で完了させる 品質マネジメント ________________ → ファンクションポイント法、 COCOMO など (品質管理、品質保証) 顧客ニーズを満たすために、品質方針、目標、責任を 定め、必要なプロセスを実施する → ベンチマーク、ウォークスルー、レビュー、テスト 8 プロジェクト マネジメント (9エリア) ________________ 人的資源マネジメント コミュニケーション マネジメント プロジェクト情報の生成から配布、廃棄までを適切に 行うことで、人と情報を結びつける ________________ リスク マネジメント プロジェクトチームのメンバがそれぞれの役割と責任を まっとうすることで、チームとして機能させる プロジェクトのマイナス要因の発生確率と影響を 低減させる (→ 詳細は、次のページ以降) 調達マネジメント 必要な資源やサービスを外部から購入/取得するために 必要な契約やその管理 9 リスク マネジメント リスク ぜいじゃく 脅威が情報資産の脆弱性を利用して、 情報資産への損失や損害を与える可能性 脅威 自然災害、システム障害、人的資源、不正行為など 損失/損害 直接損失 … 障害、盗破壊、盗難など 間接損失 … 業務の中断、信用損失 対策費用 … 復旧費用、リスク対策費用 10 リスク マネジメント 純粋リスク … 損失だけを生む可能性のあるリスク 投機的リスク … 損失と利益を生む可能性のあるリスク リスク マネジメント 費用対効果を考え、優先順位をつけて対処する リスク分析 可能性のあるリスクを洗い出し、影響度を分析 分析対象の把握 → 脆弱性の発見と識別 → 損失額の予想 → 損失の分類と影響度の分析 → リスク対策の検討・評価と優先順位の決定 11 リスク マネジメント (対策) リスク ファイナンス ________________ リスクが現実化した場合の対策 損失の補填や対応費用を確保しておく リスク移転 ________________ リスク保有 ________________ 保険加入により、保険会社に補填させる 自己負担により、損失補填する リスク コントロール ________________ リスクの現実化を防ぐための事前策 技術的/物理的対策などにより、リスク発生を防止し、 損失を軽減する 12 コンティンジェンシー ________________ プラン 緊急時対応計画 リスクが現実化した場合を想定し、損失/損害を 最小限にするために定めた対応策/行動手順 損害の規模とリスクの発生確率を加味して策定 リスク発生時の各メンバーの行動指針や行動計画 顧客やマスコミへの対応方針 リスク 指針 業務や機能の継続/復旧作業の優先順位 発生 代替設備/業者の用意 後の 対策 安全在庫の確保 例) 情報漏洩: 2次被害の防止、原因追究、顧客対応の観点で策定 参考 : @ I T 情報マネジメント / コンティンジェンシー プラン http://www.atmarkit.co.jp/aig/04biz/contingencyplan.html 13 サービス マネジメント 14 サービス マネジメント I T サービス マネジメント (ビジネスと I T 技術の掛橋) サービス提供者が、利用者へのサービスの品質を 維持・向上させるため、情報システムの 維持管理・効率的な運用・改善を行う仕組み I T I L (Information Technology Infrastructure Library) _______ 車の 両輪 I T サービス マネジメントのガイドライン SLA (サービスレベル契約 / Service Level Agreement) _______ サービスの品質に関する利用者と提供者の契約 品質、範囲、提供者と利用者の責任を明確化する PDCA サイクルで、サービス マネジメントを実施 15 参考 : 関連する国際規格 ISO 20000 ITIL (Information Technology Infrastructure Library) I T サービス マネジメントの ベスト プラクティス集 (ノウハウを体系化したガイドライン) I T I L v2 は、主に以下の2つの観点 サービス サポート 日々の運用手法 5プロセス + 1機能 サービス デリバリ 中長期的な観点からの、計画と改善手法 5プロセス 参考 : I T I L の最新は v3 だが、多くの場合に v2 が利用されている 16 ITIL プ ロ セ サービス サポート (日々の運用手法) インシデント管理 インシデントの検知から解決までの一連のプロセスで あり、迅速にサービスを復旧させ、業務への影響を最 小限に抑える。 問題管理 問題の根本原因を突き止め、インシデントの再発防止 のための解決策を提示する。 構成管理 I T サービスを構成するハードウェア、ソフトウェア、 ドキュメントなどの C I (Configuration Item/構成品目) に関する情報を定義し、正確な構成情報を維持する。 変更管理 C I の変更要求 (Request for Change/RFC) について、 その影響を評価し、承認/却下を決める。変更を安全 確実かつ効率的に実施することが目的。 リリース管理 承認された変更を本番環境に正しく反映させる作業を コントロールする。 サービスデスク (ヘルプデスク) サービスの利用者と提供者の間での一元的な窓口。 適切な部署への引継/対応の記録/記録の管理など。 17 ス 機 能 インシデント : システム障害など、IT サービス業務を 阻害または低下させる出来事 問題 : インシデントを引き起こす根本的な原因 ITIL サービス デリバリ サービスレベル 管理 (SLM) サービスの利用者と提供者の間でのサービスレベル 契約 (SLA / → p.15) をもとに、サービスレベルを管理。 キャパシティ管理 システムがサービスレベルを満たすのに必要な容量 や能力などのキャパシティを管理し、最適なコストで、 現在や将来のシステムの安定稼働を実現させる。 → CPU 使用率、メモリ使用率、ネットワーク使用率 等 可用性管理 サービス利用者が利用したい時に確実に利用できる よう、I T サービスを構成する各機能を維持管理する。 → 可用性、保守性、MTTR IT サービス 継続性管理 障害時には合意した時間内にシステムを復旧させ、 影響を許容範囲内に抑え、サービス継続性を確実に 満たせるようにする。 IT サービス 財務管理 サービスの提供に必要なコストの予測、実際のコスト や収益性を管理。 → TCO プ ロ セ 中長期的な観点からの、 計画と改善手法 ス 18 システム監査 19 システム監査 目的 組織体の情報システムにまつわるリスクに対する コントロールがリスクアセスメントに基づいて適切に 整備・運用されているかを、独立かつ専門的な立場の システム監査人が検証又は評価することによって、 保証を与えあるいは助言を行い、 もって I T ガバナンスの実現に寄与すること 経済産業省 新「システム監査基準」、「システム管理基準」の公表について http://www.meti.go.jp/policy/it_policy/press/0005668/ より 20 システム監査 (概要) 「システムがうまく整備・運用されているか」を監査 監査は客観的に 整備・運用ではなく、あくまでも整備・運用のチェック 整備・運用がシステム管理基準に準拠しているか 監査は、システム監査基準に基づいて実施 監査人は、監査対象から独立でなければならない ________________ 内部監査 (組織内の監査部門) or 外部監査 (組織外の監査法人など) どちらも ok 監査人は、守秘義務を負う 監査は任意監査 (法定監査では無い) 監査役の業務監査の一環で行われることもある → p. 3 21 システム監査 (概要の補足) 情報システムにまつわるリスクのコントロール その整備・運用の目的 情報システムが、会社の経営方針および 戦略目標の実現に貢献するため 情報システムが、会社の目的を実現するように 安全、有効、かつ効率的に機能するため 情報システムが、内部または外部に報告する 情報の信頼性を保つように機能するため 情報システムが、関連法令、契約または 内部規定等に準拠するようにするため 22 システム監査の手順 参考 監査計画 (目標、時期、監査内容、監査範囲など) 監査実施 予備調査 (本調査を効率的に行うための実態把握) 本調査 評価・結論 監査報告 経営者への結果説明、改善点の勧告 改善状況の確認と改善指導 (フォローアップ) 監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は 助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項 について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と 判断した事項を明瞭に記載しなければならない。 (システム監査基準より) 23 しょうこ しょうせき 監査証拠 と 監査証跡 監査証拠 監査報告書の監査意見を立証する根拠となる事実 監査証跡 時系列でつながった一連の監査証拠 (事象の発生から最終結果に至る過程および その逆方向の追跡ができる情報) コントロールが機能していることの証明手段となる 安全性のコントロールに関して - アクセスログ、オペレーションログ など 信頼性のコントロールに関して - テスト結果報告書 など 効率性のコントロールに関して - 費用対効果分析表 など 24 25 セキュリティ コントロール ア) イ) ウ) エ) 情報システムのセキュリティ コントロールを、 予防、検知、復旧の3つに分けた場合、 復旧に該当するものはどれか。 オペレータとプログラマの職務分離 コンティンジェンシープラン パスワードの利用 メッセージ認証 26 リスク マネジメント リスクが顕在化しても、その影響が小さいと 想定されるので、損害の負担を受容する リスク対応はどれか ア) リスク移転 イ) リスク回避 ウ) リスク低減 エ) リスク保有 27 プロジェクト マネジメント (9エリア) 統合マネジメント スコープ マネジメント タイム マネジメント コスト マネジメント 品質マネジメント 人的資源マネジメント コミュニケーション マネジメント リスク マネジメント 調達マネジメント 28 システム監査 (概要) IT ガバナンス 企業が競争優位性構築を目的に、IT戦略の策定・ 実行をコントロールし、あるべき方向へ導く組織能力 (参考) コーポレート・ガバナンス 誰が意思決定を下すのか 誰が執行するのか 誰が監査するのか 誰が説明責任を果たすのか … 経済産業省 IT経営ポータル ITガバナンス http://www.meti.go.jp/policy/it_policy/it_keiei/action/keyword/governance/ 29 30 31 この教材のご利用について この文面は、TOKYO TECH OCW の利用 条件を参考にしました この教材は、以下に示す利用条件の下で、著作権者にわざわざ許諾を 求めることなく、無償で自由にご利用いただけます。講義、自主学習は もちろん、翻訳、改変、再配布等を含めて自由にご利用ください。 非商業利用に限定 この教材は、翻訳や改変等を加えたものも含めて、著作権者の許 諾を受けずに商業目的で利用することは、許可されていません。 著作権の帰属 この教材および教材中の図の著作権は、次ページ以降に示す著 作者に帰属します。この教材、または翻訳や改変等を加えたもの を公開される場合には、「本教材 (or 本資料) は http://www.al.ics. saitama-u.ac.jp/horiyama/OCW/ の教材です (or 教材を改変したものです」 との旨の著作権表示を明確に実施 してください。なお、この教材に改変等を加えたものの著作権は、 次ページ以降に示す著作者および改変等を加えた方に帰属しま す。 同一条件での頒布・再頒布 この教材、または翻訳や改変等を加えたものを頒布・再頒布する 場合には、頒布・再頒布の形態を問わず、このページの利用条件32 この教材のご利用について 配布場所 http://www.al.ics.saitama-u.ac.jp/horiyama/OCW/ この powerpoint ファイルの著作者 堀山 貴史 2007-2009 [email protected] 改変等を加えられた場合は、お名前等を追加してください 図の著作者 p. 3, 4 スマイルマーク : Microsoft Office Online / クリップアート その他 : 堀山 貴史 33
© Copyright 2024 ExpyDoc