2016-05-31
自社のIT戦略の構築・運用、とりわけサイバーセキュリティの管理体制の監督・検証は、取締役にとって困難な課題となっています。ITリスクの実効性の監督を実現するためには、複雑で理解困難な専門用語に依存することなく、取締役が分かりやすいフォーマットで的確な情報を受け取る必要があります。取締役会が受け取るサイバーメトリクスには、ITリスクやIT戦略についての実効的な監督を促進するデジタルデータやITシステムに関する情報や統計数値が含まれていることが必要です。またサイバーメトリクスは、サイバーセキュリティだけでなく、ITオペレーションを形成する他の側面(例えば、システム導入やメンテナンスを行う場合の関連システムへの影響など)を取り扱うことも重要になります。
本モジュールでは、取締役が最適な方法により整理された的確なサイバーメトリクス情報を入手しているかを判断する上で検討すべき重要事項を、以下の項目に従って紹介しています。
(2015年9月オリジナル英語版公表)
日本においても、コーポレートガバナンスコードの適用開始により、監査役会、監査等委員会ならびに監査委員会の役割が改めて見直されています。そのような議論の参考として、米国の監査委員会の実務をぜひご利用ください。
本モジュールにおいて、サイバーメトリクスとは、インターネット環境を踏まえた情報システムのリスク管理指標をいいます。サイバーメトリクスは、サイバーセキュリティの対策状況に関する情報にとどまらず、企業のITリスクやIT戦略をモニタリングするために必要な情報(機密情報の管理、付保状況、システムの更新状況、セキュリティプログラム、コストなど)を包括的に含むものです。
※セイバーメトリクス(Sabermetrics)と混同されないようにご注意ください。