リスク管理Naviリスクマネジメントの情報サイト

COSO-ERMのクラウドコンピューティングへの適用ガイド(COSO-ERM for Cloud Computing)

掲載:2021年09月17日

執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

ガイドライン

「COSO-ERMのクラウド・コンピューティングへの適用ガイド」(COSO-ERM for Cloud Computing)は、クラウド・コンピューティング技術に基づくサービス(クラウドサービス)導入を考える組織における、効果的・効率的なリスクマネジメントのあり方・仕組み(クラウドサービス・ERM)や既存のERM(全社的リスクマネジメント)への取り込み方について解説したガイドラインです。

         

「COSO-ERMのクラウドコンピューティングへの適用ガイド」とは

組織における「クラウド」とは、自らシステムを保有することなくオンラインで提供される仕組みとも言えます。ちなみにクラウドとよく対比される技術として、「オンプレミス」があります。システムを保有しないクラウドに対し、オンプレミスは組織が自らの責任において、機材やソフトウェアを用意し、構築・設置・運用して、ユーザ向けに使えるようにする伝統的なアプローチを言います。

また、COSO-ERMとは、米国組織COSOが2017年に発行した全社的リスクマネジメントのフレームワークを言います。企業がERMの仕組み構築にあたって必要な5つの要素に含まれる20の原則それぞれを解説したもの(下図参照)です。COSO-ERMそのものについて詳しくお知りになりたい方は、別途、小冊子「ERMのフレームワーク‐OSO-ERM(2017)を徹底解説‐」を発行しておりますので、そちらも併せてせてご覧ください。

【図:COSO-ERM(2017)のフレームワーク】

出典:COSO-ERM(2017)図5.2を基にニュートン・コンサルティングが翻訳

ちなみに、クラウドコンピューティングに特化したリスクマネジメントは、「特定のテーマに焦点を当てたリスクマネジメントの仕組みづくり」という観点でも勉強になるものです。例えば今、デジタル・トランスフォーメーション(DX)がトレンドですが、今後、クラウドサービスのみならず、DXのリスクマネジメント(DRM)も必要になってくる可能性があります。そうした時代を見据えて、やはりこのガイドラインは意義深いものと言えるでしょう。

クラウドコンピューティングのERMとその意義

クラウドコンピューティングのERMとは、組織の目的・目標達成に、クラウドコンピューティングがどのような不確実性(リスクや機会)をもたらすのかをいち早く特定し、それらをどのようにコントロールすれば、より確実に目的・目標達成ができるのかを考え、実践し、必要があればこうした取り組みのあり方についても継続的改善を促す仕組みを言います。

それではなぜ、ここで「クラウドコンピューティング」という特定のテーマに焦点を当てたERMが必要になるのでしょうか。それは、クラウドコンピューティングに関わるリスクが大きいからです。誰もが気軽に導入・利用できるクラウドサービスは確かに便利ではありますが、事故も急増しています。しかも、クラウドサービスは決して万能ではなく、それを導入することによって別の新たな足枷が生まれる可能性もあります。逆に、クラウドサービスの利用を躊躇したがために機会損失を生じる可能性もあります。つまり、「考えなければいけないリスクや機会がとにかくたくさんある」ということです。だからこそ、クラウドサービスの導入において、さまざまなリスクをコントロールするための、全社的・体系的なリスクマネジメントの仕組み(=ERM)を設けることが必要になるのです。

「COSO-ERMのクラウドコンピューティングへの適用ガイド」の中身

「COSO-ERMのクラウド・コンピューティングへの適用ガイド」の中身について見ていきましょう。7章25ページからなる本編に、3つの付属書を加えた全36ページから構成されています。詳細は下表の通りです。

【表:「COSO-ERMのクラウド・コンピューティングへの適用ガイド」の目次と要旨】

目次 各章の要旨(付属書はその概要)
Introduction
(はじめに)
クラウドサービスの導入や検討速度に企業のリスクマネジメントが追いついていない。そうした課題解決の一助となるように当ガイドラインを発行した
Enterprise Risk Management with a Cloud Computing Environment
(クラウドコンピューティング環境におけるERM)
COSO-ERMは5つの相互関係を持つ要素から構成されており、そこには20の原則がある。このフレームワークを用いて、クラウドコンピューティングのリスクマネジメントのあり方を説明する
Governance and Culture
(ガバナンスと組織文化)
クラウドサービスに対してのあるべき組織の思想の浸透やその効果的・効率的なリスクマネジメントを行うための体制を確立し、リソース管理等を実施することが重要
Strategy and objective-setting
(戦略及び目標設定)
クラウドサービスに対する組織の戦略、事業目標、リスク選好を決定するとともに、クラウドサービス戦略の妥当性を、その代替策の検討によって考えることが重要
Performance
(パフォーマンス)
策定したクラウドサービス戦略遂行や目標達成に影響を与えるリスクを特定・分析・評価し、対応、経営への報告を行う。そのための組織としての手法を確立することが重要
Review and Revision
(レビュー及び修正)
リスク対応のモニタリングや、クラウドサービスのリスクマネジメントのあり方や運用の仕方そのもののレビューを行い、継続的改善につなげる。そのための組織としての手法を確立することが重要
Information, Communication, and Reporting
(情報、コミュニケーション並びに報告)
世の中にある情報(例:クラウドサービスプロバイダーの信頼性を示すスコアリングレポート等)やIT技術を積極的に活用し、クラウドサービスのリスクマネジメントの有効性・効率性向上につなげることが重要
Appendix A. Roadmap to Cloud Computing
(付属書A:クラウドコンピューティングのロードマップ)
伝統的なオンプレミスのシステムをクラウドサービスに移行するための段階的アプローチ(「評価、構築、移行(現状維持、現状の移行、プラットフォームの見直し、製品の見直し、リファクター、退役)、最適化」)を紹介
Appendix B. Roles and Responsibilities
(付属書B:役割と責任)
取締役会や経営層(CEO、CFO、CLO、CRO、CCO、CTO、CISO、CAE等)、委員会(クラウドステアリングコミッティ等)をはじめ、部門や実務者(ベンダー調達部門、ネットワークエンジニア、セキュリティエンジニア等)の役割・責任例を列挙
Appendix C. Glossary and Definitions
(付属書C:用語と定義)
CSP、MSP、マルチクラウド、マルチテナント、CASB、SASE、プライベートクラウド等の用語解説
※目次内括弧書きの日本語表記は筆者訳。「各章の要旨」は筆者が作成

「COSO-ERMのクラウド・コンピューティングへの適用ガイド」の入手方法と活用方法

COSO-ERMのクラウド・コンピューティングへの適用ガイドは、COSOの公式ページからダウンロードすることができます。
特に以下の人・組織に有益なガイドラインです。

  • これからERM構築を進めるが、クラウドサービスリスクが大きいと感じている
  • ERM構築済みだが、クラウドサービスのリスクマネジメントが弱いと感じている
  • クラウドサービスへの依存度は高くないが、勉強しておきたい
  • COSO-ERMは知っているが、その具体的な活用方法を知りたい

ゆえに、組織のリスクマネジメント部門、システム部門などにとって特に有益です。もちろん、それ以外の方にも参考になる情報がありますので、部分的な利用も可能です。具体的には同ガイドラインには、組織における全ての階層の役割・責任(例)についても記載されています。このため、取締役であっても、経営者であっても、社員であっても、クラウドサービス・ERMにおける自らの役割を知ることができるでしょう。

ただし、「COSO-ERMのクラウド・コンピューティングへの適用ガイド」は残念ながら英語版のみです。そこでニュートン・コンサルティングでは、このガイドラインを引用・解説しつつ、そこに私どもの知見を加え、よりわかりやすくより有益な情報を皆様にお届けしようと、小冊子「クラウドサービスを全社的にリスクマネジメントする方法」を提供しております。さらに詳しく知りたい方は、ぜひこちらをご覧ください。

【参考文献】
  • COSO (2017), Enterprise Risk Management (全社的リスクマネジメント)-戦略及びパフォーマンスとリスクの連携
  • COSO(2017), COSO-ERMのクラウドコンピューティングへの適用ガイド(COSO-ERM for Cloud Computing)
当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる