« 2006年5月 | メイン | 2006年7月 »

2006年6月25日

中小IT系企業が取り組むべき課題とその対応について

IT化社会の変貌に対応する

企業経営者として、自社のIT戦略について考える

 弊社は従業員7名の弱小IT系企業である。しかし、弱小企業であるからこそ、世の中の技術動向や企業を取り巻く環境に 対して適切な対応をしてゆかねばならないと痛感している。その一部を書き綴ってみたいと考えている。

弊社が取り組むべき課題
 

企業として取り組むべき課題についてはIT的課題とIT法務的課題にがあると考えている。

ITの技術的対応について
        
  1. Web2.0への対応
  2.   
  3. Web1.5の完全習得
 

Web2.0はSNS(Social Networking Site)で有名になった技術だ。従来の一方的に情報を発信するWebから、 利用者の参加型WebへWebシーンが移り変わろうとしている。そのバックボーンを支えているといっていいだろう。 問題は、Web2.0の及ぼす技術的変革が、企業経営にどのように影響を与えてゆくのかが課題となるだろう。まずは、その技術概要を 見極め、弊社としての態度や方針を決定してゆかないといけないと考えている。

 

Wまた、Web1.5に相当する、Movable TypeやXOOPSなどの技術についても、弊社の戦略商品であるSEO(Search Engine Optimizing) への影響もあわせて徹底的に解析しなければならないと考えている。単に新しいから飛びつくのはまずいので、これらの技術を 企業経営、特にネットでの受注活動にどのようにつなげてゆくべきなのかについて研究すべきと考えている。

IT法務リスク

 ITにかかわる法環境もずいぶん変化してきている。弊社は中小企業であるから、次の点にポイントを絞って 対応を進めてゆかなければと思っている

        
  1. 会社法への対応
  2.   
  3. 不正競争防止法の改正について

 新会社法では、企業の財務状態のをWeb等で公表することを義務付けてきた。まだ中小企業でその対応を施している企業は少ないが どの程度の強制力があるのかは疑問なのでその対応を見極めてゆきたいし、企業規模の拡大に伴い組織変更を睨んで長期的課題としたと 考えている。

 また、改正不正競争防止法では、退職した社員が同業者に転職しもといた企業の秘密に関連する情報を提供した場合、刑事罰として最大 1億5000万円の罰金が科せられることになった。従って、企業は中途採用者を雇用する場合、十分、この点についての配慮が必要になるだろう。

短期的な活動計画

 IT法務に関連する問題は中長期的課題として認識している。就業規則などはそんなに簡単に変えることができないからである。 しかし、教育の形で対応してゆく予定である。問題はITの技術動向にどのように対応してゆくのかを組織内に明確にしてゆく必要がある。

        
  1. MTの組織内教育は実施終了(実施済み)
  2.   
  3. XOOPSの組織内教育は7月中に実施予定
  4.   
  5. XOOPS実験サイトの運営開始予定8月実施予定
  6.   
  7. Web2.0の技術動向の監視担当者の設置

 企業は今後、法務担当者が必須といわれているが、弊社は既に「対応済み」である。 従って、IT技術動向への対応について、組織のリソースを集中して計画的な対応が必要と考えている。

システムアナリスト小論文へ置き換える

 以上のことをシステムアナリスト小論文へ置き換えて考えてみると次の点がポイントだ。

        
  1. 企業の事業領域と社外環境の変化を監視して、取り組むべき課題を明確にする
  2.   
  3. XOOPSの組織内教育は7月中に実施予定
  4.   
  5. XOOPS実験サイトの運営開始予定8月実施予定
  6.   
  7. Web2.0の技術動向の監視担当者の設置

 企業は事業戦略に沿って、IT戦略の組み立てが必要となる。その際、取り組むべき課題の事業戦略に与える影響とその可能性を 十分考慮して行う必要がある。取り組む課題を定めたら、組織内に対応可能なリソースが存在するのかを確認する必要がある。リソースが 存在しない場合は、リソースをアウトソースするなどして対応する計画を組み立ててゆく。

 さらに、計画を実施するためのコントロール機関を明確にし、権限を委譲する必要がある、そして、計画の実施状況を 十分把握している必要がある。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 16:35

2006年6月20日

会計データの電磁記録に関連するリスクについて

文書の電子化リスクについて

読者の方からご質問をいただきました

H18年システム監査、午後II試験問題選択は問2の”文書類の電子化とシステム監査”でした。 全体的には無難に論述出来たのですが、設問イの”文書化において想定したリスクについての法的要件と ビジネス要件の違いについて”が明確でなかったように思えます。
 さて質問ですが、上記の法的要件における文書の電子化のリスクについて、 具体的にはどのような内容を記載すれば、良いのでしょうか。設問ウを視野にいれるとシステム管理基準の部分からとってくると推測はされるのですが。  ご多忙のところ恐縮ですがご回答のほどよろしくお願い致します。

お答えします
まずは問題文、前段を読んでみる
 

問題文を読むと、次のリスクに留意すべきということがわかります。

        
  1. 電子文書の完全性が損なわれるリスク
  2.   
  3. 電子文書の機密性が損なわれるリスク
  4.   
  5. 電子文書の見読性が損なわれるリスク
 

電子データを会計データと仮定して法的要件(株式会社の監査等に関する商法の特例に関する法律)に当てはめてみましょう。

        
  1. 第1条の1 重要財産委員会の議事録が電磁記録で作られている場合、遅滞なく取締役会に報告しなければならない
  2.   
  3. 会計データは商法でも定める閲覧権限者以外から適切に防御されなければならない
  4.   
  5. 第7条 会計監査を実施する場合、会計士は経営者に対して電磁的記録の閲覧を求めることができる
 

このように電磁的会計データの法的要件を捉えてゆくとよいでしょう。

法的リスクの例

 電磁的会計データの法的リスクを次のように論述するとよいでしょう。

        
  1. 電磁データが誤謬などにより完全性が損なわれ、利害関係者の判断を誤らせること
  2.   
  3. 会計データの電磁記録が、アクセス権限のないものでもアクセスが可能であること
  4.   
  5. 電磁記録が喪失し、会計監査、マネジメントレビューが実施できない

 お役に立てましたでしょうか。


参考:会計法規集 中央経済社編

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 23:22

2006年6月18日

IT技術の導入と検討事項について

技術導入のタイミングと検討事項について

要旨

私のお客様である複数のネット店長から、どのような技術の組合わせでWebサイトを構築したらよいのかという疑問が提起されました。

弊社では詳細な技術研究を開始しました。その結果を待つ間、現在の自分のシステムアナリストとしてのスタンスを示しておこうと 思います。

システムアナリスト加藤忠宏の意見
技術動向や技術導入リスクを含めた情報戦略について

 現在、上記のネット店長の質問に対して、「Web1.0~Web2.0」技術及び「Ajax(Asynchronous JavaScript + XML)」 を睨んで助言したいと考えています。その上で以下の内容に配慮しています

  • 企業規模(Webマスタの負荷、投資コスト)
  • プロジェクト計画(いつカットオーバするのか)
  • 業態(商品点数が多いか、商品の寿命が短いか長いか)
  • 業種(製造業か、卸売業か、小売業か、サービス業か)
  • 競合企業の動向(先進事例を含めて)
  • 技術リスクや配慮すべき事柄(SEO,デザイン性,セキュリティ、開発期間)

 あるネット店長Zさん(まったくの仮想)はXOOPSに技術的に傾斜されています。確かにXOOPSは優れた技術ですが、 それを活かすための方策を十分検討する必要があるということです。

XOOPSを導入することに関する検討例

Zさんの業種は何でもよいのですけれど、XOOPS導入する場合次のような助言を与えることにしています。

  • 企業規模(Webマスタの負荷、投資コスト):Web開発・運等の生産性があがるので賛成
  • プロジェクト計画(いつカットオーバするのか):この方の多忙さ、計画能力、計画遂行能力、現在のWebサイトからの移行計画が十分であるかを検討する必要がある
  • 業態(商品点数が多いか、商品の寿命が短いか長いか):部品点数が少ない企業などは、導入メリットがあるか。XOOPSなどのCMS(Contents Management System)は サイト規模が大きくなればなるほど有利という見解です。
  • 業種(製造業か、卸売業か、小売業か、サービス業か):小売業などはサイト表現のの詳細なディテールにこだわらないと商品が売れない等の事情があり、 画一的なモジュールやテンプレートを利用したサイト表現力で十分か
  • 競合企業の動向(先進事例を含めて):1社だけの評価だけでは危険なことと、その事例の前の状態がどのような状態であったかを冷静に比較検討する必要です
  • 技術リスクや配慮すべき事柄(SEO,デザイン性,セキュリティ、開発期間):XOOPSはCSSが入っているからSEOが有利という考えは短絡的である。むしろ、速攻効果ならMovable Typoe などの方が効果が高いことが当社の実証事例で照明されている

 要は、技術には100点のものはないので、XOOPSを導入すれば全ての問題が解決することができる わけではないということの認識が重要です。また、XOOPSにCSS(Cascading Style Sheets)が導入されているので 圧倒的にSEO的に有利という考え方は錯覚だと思います。

技術動向の配慮

 XOOPSは優れた技術です。しかし、それを生かすためには十分な経営環境や技術環境への配慮が必要なことを 強調したいと考えています。

  • Webマスタ、担当者はXMLあCSSに関する十分な理解をしている必要がある
  • Web2.0を睨んだ、技術的展望を見据えてサイト構築を立案する必要がある
  • XOOPSの根底技術であるPHPとSEO効果との関連性を十分に技術検討する必要がある
  • 他の技術との組み合わせ、代替手段を検討する必要がある
  • 果たして数ページしかない小規模WebにXOOPS導入の意味があるのか。そうであるならばMovable Type導入の方が効果があることが実践例で検証されている

 もし、Web担当者が単に「最新技術だから」「これを導入すれば先端企業としてのイメージが得られるから」「運用が楽である」などの単純理由で 導入するのであればもってのほかで、その技術導入が企業経営にどのような影響を及ぼすかをじっくりと考えてみる必要があるでしょう。

 Webサイトというものは、Webサイト内部の問題だけでなく、相互リンクやディレクトリ登録など他にも重要な課題が存在します。このような課題を含めて 総合的に技術導入を検討すべきでしょう。

 当社では、以上のような判断のもと、XOOPSは2年前から認識していましたが、あえてMovavle Typeを優先的に技術検討してきました。今後は大規模な Webサイト運用も任されていることから。これら大規模Webポータルサイトの運用やSEO対策を技術研究したいと考えています。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 12:47

2006年6月11日

IT基盤計画書作成について

ANの論文作成について思うこと

 ある生徒さんのAN論文の添削を行ってみて感想を述べます。
H17年午後II問2の制約条件

出題の題意は「IT基盤の整備計画について」とシンプルですが、「ビジネスの変化に対応する柔軟性や拡張の確保」「ビジネス戦略を理解したうえでの計画」 という制約条件がはまっています。

システムアナリスト加藤忠宏の意見
IT基盤整備計画書作成の際の留意事項

 以前、あるビルのIT基盤整備計画書を作成した際に留意したことを列挙します

  • 1.IT基盤整備計画書の上位文書の査読(通常は情報戦略書か経営戦略書)する
  • 2.企業、都市などクライアントの抱えている課題を理解する
  • 3.IT基盤整備計画書が準拠しなければならない法律を理解する
  • 4.IT基盤整備計画書を作成して欲しい、クライアントの狙い(目的・意図)を理解する
  • 5.組織文化や現在のインフラの状態について理解する

 自分の場合は、創業者をインキュベートする施設及びそのネットワーク環境と位置づけを議会に提出する 基本計画書を作成したのでした。IT基盤整備計画書を作成するとき、システムアナリストはクライアントの 立場に立って、その組織の成り立ち、文化、構造上の問題点などについて深く理解しようとするのです


経営戦略書を徹底的に読み込む

 IT基盤整備計画書を執筆前に、システムアナリストはクライアントの経営戦略書を徹底的に読み込みます。
そして、ITインフラの整備によって得られるメリットを特定し、絞り込んでゆきます。そして経営者に納得の行くメリットを示します。




  • 1.売上の向上、営業利益率の向上(経営的効果)

  • 2.株価の向上(社会的評価)

  • 3.顧客との関係の効果

  • 4.競争の優位性の確立について

  • 5.業務の効率化の推進、生産性の向上



 効果には経営的数字や株価のように計数的に評価できる項目と、競争の優位性や顧客との堅固な関係など、
数字に表れない要素もあります。しかし、相手は経営者ですから、両論をきちんと説明できれば大概の場合は
納得できるはずです。

IT基盤整備計画書を執筆する際の盛り込む内容

 IT基盤整備計画書には次のよう内容を盛り込みます。

  • IT化投資の目的と計数的効果
  • 計数的効果の測定方法とITガバナンスの手法
  • 中長期計画の見直しについて
  • IT投資の予算とその回収法
  • IT投資や技術選リスク低減のための手段
  • IT投資計画が満たすべきコンプライアンス
小論文を書く上での留意事項

 以上のことを踏まえて、小論文を書く上での留意事項を示しておきましょう。

  • システム開発の話に終始してはいけない
  • 経営戦略書を読み込む、態度を示さないといけない
  • ビジネス環境に配慮した開発計画や拡張性への言及が必要
  • IT投資を短期間に回収する方策が示されているとさらによい
  • IT投資や技術選択にあたっては他社の先進事例のサーベーランスが必要

 従って、AEのようにひたすら開発手法について述べていれば合格が出来る種目とは少し趣が異なる点に 留意が必要です。

 本件について何かご質問がありました、掲示板やメール等でご意見をいただければ、回答申し上げます。

(c)有限会社アイ・リンク・コンサルタント

投稿者 kato : 16:12

2006年6月 1日

日本版SOX法についての基礎講座

日本版SOX法についての基礎講座

 最近、会計ソフトのコマーシャルでも話題となっている日本版SOX法について整理しておきたいと思います。
SOX法の起源、概要
SOX法とは

 SOX(Sarbanes Oxley Act)法は企業改革法と訳されて、米国で上場企業に適用されるディスクローズ、内部統制に関連する法律です。
SOX法に違反する経営者には刑事的罰則があたえられるなど強行性も高く、外国企業でも米国証券取引所に上場している企業にも適用されるなど 海外進出している企業には脅威となっている。また日本版SOX法の施行も検討されていて今後の動向が注目されている。

SOX法導入の背景

   米国ではエンロン破綻などの上場企業の会計的不正が2000年相次いだ。また、日本でもライブドア事件などの会計にまつわる事件が発生している。 だから、企業の内部統制力を強化する必要性に迫られた。

SOX法導入時期(推定)

   日米のSOX法導入時期は以下のとおりである。

  • 米国 2002年7月末成立 
  • 日本 2008年3月末成立予定
日本企業のSOX法対応の留意点

   日本企業のSOX法対応の留意点は以下のとおりである。

  • 米国進出企業:2006年7月15日までに米国SOX法への対応
  • 日本国内:2008年3月末成立予定の日本版SOX法への対応
米国版SOX法の構成

 米国版SOX法は全11章69条の構成となっている。

  1. 公開会社会計監視委員会(Public Company Accounting Oversight Board:PCAOB)
  2. 監査人の独立
  3. 会社の責任
  4. 財務ディスクロージャの強化
  5. 証券アナリストの利益相反
  6. 証券取引委員会の財源と権限
  7. 調査及び報告
  8. 2002年企業不正及び刑事的不正行為説明責任(Corporate and Criminal Fraud Accountability Act of 2002)
  9. ホワイトカラー犯罪に対する強化
  10. 法人税申告書
  11. 企業不正及び説明責任

 米国版SOX法は概要として、①監査人の独立性(日本の場合、会計監査が妥協の産物となっている事例がある)、②会社の責任 (投資家や利害関係者に対する責任)、③財務ディスクローズ(財務諸表の真実性)の強化、④ホワイトカラー 犯罪のへの罰則規定、⑤内部告発者の保護などが盛り込まれている。

財務ディスクローズと経営者の責任

 SOX法では、経営者に対して①年次報告書の真実性、完全性、適切性に関する証明書提出を求めている。②企業の財務報告の内部統制の有効性について の評価を要求している、③独立した監査人による財務報告の内部統制の監査を求めている。
 これに違反すると5年~20年の禁固刑という刑事罰が設定されている。

内部統制のフレームワーク
COSOフレームワークとは

 米国版SOX法では、内部統制を強化するためにCOSO(COSO:the Committee of Sponsoring Organization of the Treadway Commission:米国のトレッドウェイ委員会組織委員会) が1992年に提唱したフレームワークがデファクトスタンダードとなっている。 

COSOフレームワークの狙い

   COSOフレームワークの狙いは次のとおりです。

  • 業務の有効性と効率性の確保
  • 財務報告の信頼性の確保
  • コンプライアンス
COSOの活動

 上記の目的を達成するために、次のような活動を行います。

  • モニタリング(監視)
  • 情報の伝達
  • 統制活動(コントロール)
  • リスク評価
  • 統制環境の整備

 実務的にも、プロジェクトの一時停止や差し戻し及び打ち切りは良くある話である。

内部統制環境の整備のためのIT基盤整備計画

 COSOの示すような内部統制環境やコントロールを実現するためのIT的要求項目として、ITインフラに対して 次のような基盤整備計画が必要となります。

  • アーキテクチャールールの確立
  • アーキテクチャモデルの整備
  • インフラの標準の整備
  • システム管理ルールの確立
  • アーキテクチャ管理プロセスの確立

 これらのIT基盤整備計画に従い、システム設計や開発、運用を実施する必要があります。このために、 ITには次のような自動化対策を組み込んでおくとよいでしょう。

  1. ユーザIDなどのアカウントの自動管理機能
  2. ITコンプライアンス自動検知機能
  3. ログ監視機能
  4. 上記内容について、監査証跡の確保機能
情報処理技術者試験への影響

 システムアナリスト、システム監査、プロジェクトマネージャ試験において、午前で出題される可能性があります。この他、考えられる 内容について列挙します

  1. システムアナリスト:IT基盤整備計画、中長期計画などの小論文テーマとしての出題
  2. システム監査:SOX法対応のITコンプライアンス自動検知機能、ログ監視機能、監査証跡の確保機能についてのコントロール強化に関する小論文出題
参考文献

 以下の論文を参考にしました。

  • 「日本版SOX法遵守に向けたシステム全体の体系を考える」高橋可祝,日経コンピュータ2006.03.20 P204~207
  • 「サーベンス・オクスリー法」KPMG Japan,ビジネスキーワード
  • 「迫り来る日本版SOX法、IT統制の準備はOK!」坪内郁栄、@IT情報マネジメント

※(c)(有)アイ・リンク・コンサルタント 加藤忠宏

投稿者 suzuki : 09:34