HOME > SCAアプローチ支援

SCAアプローチ支援
セルフコントロールアセスメントによる自走型統制の定着

内部監査に頼るだけの統制は、組織の本当の力になりません。現場担当者自身がコントロールを評価・改善できる「自走型統制」の仕組みをNPOITGがHands-onで構築します。

SCA(セルフコントロールアセスメント)とは

SCAとは、業務現場の担当者自身がコントロール(内部統制)の有効性を定期的に自己評価する手法です。内部監査部門による年1回の評価だけでは、日常業務の中で生じるリスクを早期に発見することはできません。SCAは「監査に備える」のではなく、「日常業務の中でリスクを管理する」文化を組織に根付かせます。

SCAの最大の特徴は、ロールごとにチェック項目が異なる点です。経営層・システム管理者・業務担当者・委託先管理者それぞれの職責に応じた評価項目を設計することで、「自分ごと」として統制に向き合う意識改革につながります。

ロール別チェック項目の設計

経営層
IT戦略とリスク方針の整合性、重大インシデントへの対応方針、セキュリティ投資の承認プロセスなどを評価します。
システム管理者
アクセス権の棚卸し、パッチ適用状況、バックアップ・復旧テスト、ログ監視の実施状況などを評価します。
業務担当者
パスワード管理、情報の持ち出し・廃棄手順の遵守、不審メール対応、業務端末の管理状況などを評価します。
委託先管理者
委託先のセキュリティ水準確認、契約上の義務履行状況、アクセス権の適切な付与・管理などを評価します。

段階的なサイクル移行計画

SCAの定着は単年で完結しません。是正活動の成熟度に応じて、中長期計画のもとで段階的にサイクルを短縮していきます。

STEP 1
Annual
年1回

SCAの基本を習得。評価シートの記入・不備の報告サイクルを確立します。

STEP 2
Semi-annual
半年毎・年2回

半期での自己評価が定着。是正活動のPDCAが機能し始めます。

STEP 3
Semester
4ヶ月毎・年3回

是正精度が向上。担当者が自律的に問題を発見・対処できるようになります。

STEP 4
Quarterly
3ヶ月毎・年4回

外部支援なしにPDCAを回せる真の自走型統制体制が完成します。

※ 情報セキュリティ対策の整備・教育プログラムと並行して推進することで、組織全体の統制力が高まります。

NPOITGのSCA支援内容

1
SCA評価シートの設計
貴社のロール・業務内容・リスク特性に応じたチェック項目を設計します。ITGCのRCMと連動させ、評価の実効性を高めます。
  • ロール別SCA評価シート
2
キックオフ教育・トレーニング
SCAの目的・評価方法・結果の報告手順について、現場担当者向けのトレーニングを実施します。「なぜ自分がやるのか」の意識醸成が定着の鍵です。
3
初回SCA実施サポート
初回のSCAを担当者とともに実施。評価の進め方・不備の判断基準・是正報告のフォーマットを実務を通じて習得します。
  • 初回SCA実施報告書
  • 是正課題一覧
4
サイクル移行計画の策定と継続支援
Annual→Semi-annual→Semester→Quarterlyへの移行タイミングと条件を設定。是正活動の成熟度に応じて段階的に移行をサポートします。
  • SCAサイクル移行計画書

SCAの設計から初回実施まで、Hands-onでサポートします。

お問い合わせ・ご相談はこちら