「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」というディスカッション・ペーパーが、6月に公表されています。平成11年にはシステムリスク管理態勢に係る検査マニュアルを策定していて、平成14年には「システム統合リスク管理態勢の確認検査用チェックリスト」が策定されています。
金融検査・監督の考え方と進め方(検査・監督基本方針)
平成30年6月には「金融検査・監督の考え方と進め方(検査・監督基本方針)」が公表されています。この基本方針を踏まえ、個々のテーマや分野ごとのより具体的な考え方と進め方を、議論のための材料であることを明示した文書(ディスカッション・ペーパー)の形で示すこととしていました。
「金融機関のITガバナンスに関する対話のための論点・プラクティスの整理」はその一環として取りまとめられ、公表されたという位置付けになります。また、平成11年と14年に公表されたチェックリスト等は検査マニュアルに示されていましたが、その検査マニュアルが廃止され、今回のディスカッション・ペーパーが置き換わるようなイメージになるんですかね。
なお、このディスカッション・ペーパーにはサイバーセキュリティについては含んでいません。昨年10月に「金融分野におけるサイバーセキュリティ強化に向けた取組み方針」がアップデートされているので、そっちを見てね、ということのようです。
超ザックリまとめてみると
「経営者がリーダーシップを発揮し、ITと経営戦略を連携させ、企業価値の創出を実現するための仕組みである『ITガバナンス』が、適切に機能することが金融機関にとって極めて重要となっている」と言ってます。経営者のリーダーシップ、ここがキモです。そのうえで金融機関との対話を進めていく際の基本的な考え方・着眼点として次の6点をあげています。
① 経営陣によるリーダーシップ
② 経営戦略と連携した「IT戦略」
③ IT戦略を実現する「IT組織」
④ 最適化された「ITリソース(資源管理)」
⑤ 企業価値の創出に繋がる「IT投資管理プロセス」
⑥ 適切に管理された「ITリスク」
この他に、金融機関との対話の進め方や、留意点。検査・監督の基本的な進め方などが整理されています。金融機関のご担当の方は既にお読みになったと思いますが、まだの方は是非。全16ページでコンパクトにまとまっています。