BEC _ note 2-2 (IT & corporate governance) Flashcards
【16.IT 1】
expert systemとは
expert systemとは、専門家の持つ知識をベースとして構築し、専門知識をルールに従って適用することで問題解決を行うプログラム。
machine learning(機械学習)とは(3つ)
① supervised learning(教師あり学習)
→ 問題と正解の両方のデータを与えるもの。
→ 入力データと出力データのセットを教師データ(training data)と呼び、supervised learningでのみ与えられる。
② unsupervised learning(教師なし学習)
→ 大量のデータを与え、データのグループ分けや情報の収集を行うことができる。
③ reinforcement learning(強化学習)
→ 出力データに価値づけを行うことで、その価値を最大化するように最適化する手法。将棋や囲碁などのゲームに使われる。。
deep learning(深層学習)とは
・input layer - hidden layer - output layerのうち、hidden layerを2層以上に多層化させた「neural network」のこと。
・機械学習の応用の一つ。従来は特徴量(feature values)を人が与えていたが、deep learningでは、機会が自動的に学習。
weak AI / strong AIとは
・weak AIは、限定されたタスクに特化して処理するAIのこと(画像認識、多言語翻訳、自動運転など)。他方、strong AIは、人間と同等の知識を有するAIのこと。
・現在のAIはすべて、weak AI。
<用語> ・マルチプログラミング ・アプリケーション・ソフトウェア ・ユーティリティ・ソフトウェア ・RPA ・distributed ledger technology
・マルチプログラミング(同時に複数のプログラムを実行するオペレーティング・システムの機能のこと)
・アプリケーション・ソフトウェア(特定の目的のために作られたソフト。 ワープロ、表計算、メールなど)
・ユーティリティ・ソフトウェア(OS、アプリケーション・ソフトなどの機能を補い、使い勝手や性能などを向上させる単機能・小規模なソフトのこと。電卓、時計・カレンダー、ファイル圧縮、周辺機器の操作・管理、スクリーンショットなど)
・RPA(ロボティック・プロセス・オートメーション。人がパソコン上で日常的に行っている作業を自動化など。単純作業を自動化できる、判断を伴うものは対応不可)
・distributed ledger technology(分散型台帳技術。ブロックチェーンを支える技術で、取引履歴を分散保存し参加者で共有)
APIとは
・API(Application Programming Interface)とは、Webサービスの間をつなぐインターフェースの総称。
(例)ネットショッピングでは、カード会社提供のAPIが使わる。ネットショップはカード会社に対し、APIを通じ、「顧客が打込むカード情報を確認してほしい」と要求。打込まれた情報は、(ネットショップを経由せず、)直接カード会社のサーバに届く。確認後、ネットショップ宛に「決済、完了」とだけ連絡。
企業におけるinformation systemsの種類(5つ)
① executive support system (ESS)
→ (DSSやMISのような特定の問題に対応するための意思決定支援ではなく、)企業の戦略を決定する役員等のための情報システム。事業環境の変化、新規事業の開拓など長期的な検討をする際に、競争優位を握るカギに関する情報等を提供することを目的。
② decision-support system (DSS)
→ 経営レベルが利用するための、semi-structuredないしunstructuredな意思決定を効率化するためのもの。競合他社の状況や他の経済指標などと共に、それらを分析するためのツールを提供。
③ management information system (MIS)
→ 日常的な業務報告などを提供。structuredな意思決定を効率化するためのもの。
④ knowledge work system (KWS)
→ ワープロ、電子メール、スケジュール管理ソフトなど。
→ expert system。
⑤ transaction processing system (TPS)
→ operational levelで活用。ホテル予約、部品の買入れ、給与計算など。
コンピューターのハードウェアの構成(大きく2つ、小さく5つ)
① processing unit(処理装置)
・CPU(arithmetic-logic unit, control unit)
・primary storage (RAM)
② peripheral devices(周辺機器)
・secondary storage
・input devise
・output devise
Access timeとは
Access timeとは、CPUからデータの転送要求があった後、そのデータが主記憶装置(RAM)からCPUに転送完了されるまでの時間のこと。主記憶装置の性能を測る基準の一つ。
・system softwareとは
・application softwareとは
・language processorとは
・system softwareとは、ハードの管理などコンピュータを有効に利用させるための機能を持つプログラムのこと。OSやlanguage processorなど。
・application softwareとは、特定の目的を処理するためのプログラムのこと。
・language processorとは、high-level language programsをコンピュータが理解・実行できるmachine languageに翻訳するプログラムのこと。
EPRシステムとは、メリット(2つ)、デメリット(2つ)
・全社的に経営資源を管理するためのアプリケーション・ソフト・パッケージのこと。各部門ごとに別々に構築されたシステムを統合し、相互に参照・利用できるようしたもの。
・メリット
① 意思決定プロセスを助け、反応性や柔軟性が増進。
② データの冗長性(redundancy)が抑えられる。
・デメリット
① 他のモジュールに影響を及ぼすことなく、あるモジュールに変更を加えることは難しい。
② 導入や研修に係るコストが高い。
VANとは
・VAN(value-added network)とは、独立した第三者である事業者が、取引企業のために(インターネットではない)専用ネットワークを提供し、データ伝送などのサービスを行うもの。例えば、全銀システムなど。
・VANは、データ伝送におけるセキュリティーの向上に貢献する。
・high-level language programs / low-level language programsとは
・第四世代言語(fourth-generation language)とは
・source codeとは、またsource codeをコンピュータが実行可能な言語に翻訳するソフトは
・high-level language programsは、より人間よりの言語。low-level language programsは、よりコンピュータよりの言語。
・第四世代言語(fourth-generation language)とは、プログラミング技術をあまり持たない人やエンドユーザでも比較的容易に使いこなせるような、non-procedural languageのこと(JAVA, C++など)。
・source codeとは、機械言語に訳される前のhigh-level languageのこと。source codeをコンピュータが実行可能な言語に翻訳するソフトを、compilerという(interpreterは、一命令毎に機械言語に翻訳するソフト)。
programing languageの分類(大きく2つ、小さく4つ)
<low-level language>
・machine language(機械言語)とは、0と1の二進法で記述された言語。現在はほぼ目にすることはない。
・assembly language(アセンブラ言語)とは、二進法に代わって、人が使いやすいよう記号に置き換えたもの。
<high-level language>
・procedural language(手続型言語)とは、特定の問題を解決するため、必要な手順を順序立てて記述できるように設定された言語。例えば、Basic, COBOL, FORTRANなど。
・non-procedural language(非手続型言語)とは、プログラムの経験がなくても比較的容易に使いこなせるようにしたもの。例えばC++, Javaなど。
data hierarchy(データ階層)(5つ)
・database ・file ・record ・field ・byte / bit
<データベースに関する用語>① ・テーブル ・カラム ・レコード ・フィールド ・キーフィールド ・フォーリンキー ・インデックス
・テーブル(エクセルのシートに相当するもの)
・カラム(列)
・レコード(行)
・フィールド(レコードを構成する1つ1つの要素のこと)
・キーフィールド(主キー。テーブル内のレコードを一意的に識別するためのフィールド)
・フォーリンキー(foreign key、外部キー。関連付けたテーブル間を結ぶために設定するキー)
・インデックス(レコードを高速に検索するための仕組み。データ・テーブルとは別に、別テーブル(インデックス・テーブル)を作成し、それを使ってレコードを検索)
<データベースに関する用語>② ・DBMS ・schema ・index ・data dictionary
・DBMS(DataBase Management System: データベース全体を管理するシステム)
・schema(データベースの仕様を記載したもの)
・index(特定のファイルを素早く抽出するための仕組み)
・data dictionary(各データに関する情報(定義、特徴、セキュリティなど)を保存し、それらを組織するツール)
DBMS(DataBase Management System)とは
concurrent controlによる利点は
logical view / physical viewとは
・DBMS(DataBase Management System)とは、企業の持つデータを一元的に管理し、保存されたデータに容易にアクセルできるようにするソフトウェア。
・concurrent control(並行処理制御)により、レコードデータは常に最新の状態に維持・反映される。
・logical view は、エンドユーザの視点から、データベースの機能性についての表示。他方、physical viewは、エンジニアの視点から、物理層におけるソフトウェアの位置やその構造・連結などの表示。その他、Process view、Development viewというのもある。
big dataの特徴(3つ)
・volume(膨大な量)
・velocity(生成・更新が高速に繰り返される)
・variety(データ形式の多様さ)
(解説)(かつては大領データの処理に大きな時間とコストを要したが、)ハードの性能向上やデータ処理技術の進化により、多様な領域でビッグデータの利用が期待。
ビッグデータで良く用いられる、unstructured data(非構造化データ)とは
unstructured data(非構造化データ)とは、画像・音声・文書などのようにデータ構造に規則性がなく、行や列で表現できないデータのこと。
<ビッグデータに利用される技術> ・machine learning ・data mining ・Hadoop ・in-memory technology
・machine learning(機械学習。コンピュータ自身が、データから反復的に学習しパターンを認識する手法)
・data mining(大量のデータから情報を抽出し、新たな発見を見出す手法)
・Hadoop(分散処理を支えるオープンソースのソフトウェア。大量のデータの高速処理を可能とする)
・in-memory technology(処理するデータやプログラムをメモリ上に格納することにより、高速処理が可能となる)
BI(business intellegence)とは、またそれを支えるツール(5つ)
・BIとは、企業の持つ膨大なデータを収集・蓄積・分析することにより、各種意思決定や経営戦略の実現に寄与すること。
・BIに関するツール(5つ)
① ELT tool(Extract Transform Load、販売管理システムなど各基幹システムからデータを抽出し、DWHに格納するソフト)
② DWH(Data WareHouse、蓄積したデータを時系列に保管したデータベース)
③ Data mart(DWHから必要なデータを抽出し、分析しやすいデータ構造に変換するソフト)
④ OLAP tool(OnLine Analytical Processing、データ分析ソフトのこと)
⑤ dashboard(グラフ等に表示するソフト)
データ分析の手法(4つ)
① descriptive analysis(記述的分析)
→ 過去に何が起きたかをデータから明らかにする分析。
② diagnostic analysis(診断的分析)
→ (過去に何が起きたかだけではなく、)なぜ起きたかを明らかに分析。
③ predictive analysis(予測分析)
→ 過去のデータを使用し、将来、何がどのくらいの確率で発生するか予測する分析。
④ prescriptive analysis(処方的分析)
→ 予測され鵜事態を最適化するには、何をすべきかを明らかにする分析。
data governanceとは、またその体系書とその構成要素(7つ)は
・data governanceとは、データを経営資産として管理・統制することを指し、その管理の在り方を規定すること。
・DMBOK(Data Management Body of Knowlege、DAMA international作成)
・DMBOK構成要素(7つ) ① data governance(DMに関する全体計画、管理、統制) ② data architecture(データ管理のための戦略や計画) ③ data modeling & design(データベースの設計、実装、維持) ④ data storage & operation(データ管理・処理の運用) ⑤ data security(データの機密性、プライバシーの維持) ⑥ data integration & interoperability(データの収集、統合の仕組み) ⑦ documents content(文書など非構造化データの管理)
【17.IT 2】
伝統的なsystem development life cycle(SDLC)のステップ(6つ)
① feasibility study(実現性研究) ② requirements definition(要件定義) ③ system design(設計) ④ development(開発) ⑤ implementation(導入) ⑥ post-implementation(導入後レビュー)
非伝統的なsystem development life cycle(SDLC)の例(6つ)
① prototyping
② agile development
③ object-oriented development
④ computer-aided software engineering(CASE)
・非伝統的なSDLCを総称して、RAD(rapid application development)という。
① prototyping
→ 最初に試作モデルを作り、機能や操作性を確認し、ユーザーの要求や評価を本番のシステムに反映して完成させる開発手法。
プロトタイピングの利点は、開発途中で処理内容や使い勝手を確認・修正できるため、利用者が望むシステムとのズレや不具合を早期に発見できることである。
② agile development
→ 小単位で開発・テスト・実装を繰返し、開発を進める手法。開発途中で仕様変更や追加等が予想されるプロジェクトに向いている。
③ object-oriented development
→ プロジェクトをオブジェクト構成単位で分けて考える。
④ computer-aided software engineering(CASE)
→ ソフトウェア開発に管理ソフト(CASEツール)を利用し、繰返しの作業を減らすなど効率的な開発を目指すもの。
authentication(認証)とは
IDとパスワードで、権限のあるユーザかを確認すること。
EFT(electronic fund transfer、電子資金移動)の例、利点
・銀行振込(EFTとは、紙幣や硬貨、手形、小切手などの受け渡しによらず、コンピューターネットワークを通じて決済・送金など行うこと)
・入力回数を減らすなど、人間の関与を減らす。入力エラーだ けではなく、修正コストの削減も可能とする。
ネットワークに対するセキュリティ対策(2つ)
① firewall
→ 組織の内部と外部の間に設置され、外部から保護するためのシステム。
② intrusion detection system(侵入検知システム)
→ firewallを補足し、組織内のネットワーク上の異常を監視するシステム。
resiliencyとは、またその対策(2つ)
・resiliencyとは、企業が事業の停止などを余儀なくされるような状況に直面した際、影響範囲を最小化し、復旧や事業の継続推進する能力。
① BCP(business continuity plan)
→ 地震や水災害などの緊急事態に対応するもの。
② incident response plan
→ 情報漏洩や不正アクセスなどのcyber securityに重大な影響を与える出来事に対応するもの。
情報セキュリティの3要素
① confidentiality(機密性、ある情報資産にアクセス権限を持つ者と、そうでないものを明確に区別するもの)
② integrity(完全性、情報の改ざんがなく整合性のとれた正確な情報であること)
③ availability(可用性、アクセス権限を持つ者が、必要な時にいちでも情報にアクセスできること)
<application control:input の有効性> ・check digit ・field check ・validity check <application control:processingの有効性> ・control total ・hash total
・check digit(数学的に計算した数値をデータ末尾に付加し、元データが改ざんされないか確認する統制)
・field check(特定のフィールドに入力できるキャラクターのタイプ(数字、英文字、カナなど)を制限する統制)
・validity check(予め定められた基準によって妥当なデータのみを許可する統制
<application control:processingの有効性>
・control total(入力したデータの合計値と、処理したデータの合計値を照合する統制)
・hash total(例えば処理した従業員の社会保険番号の合計値など、統制のためにだけ取る統計値のこと)
cyber attachの例(7つ) ① malware ② DoS攻撃 ③ phishing ④ spam ⑤ cracker ⑥ social engineering ⑦ piggybacking
① malware(悪意のあるプログラムの総称)
② DoS攻撃(denial of service、特定のサーバーやウェブサイトに対し大量のデータを送り付け、過剰な負荷をかけて正常に稼働できない状態に追い込む攻撃)
③ phishing(実在する企業を装った電子メールを送信し、偽ウェブサイトに誘導し、暗証番号などを盗み取るもの)
④ spam(迷惑メールの一種で、無差別かつ大量に送付される電子メールのこと)
⑤ cracker(悪意をもって他人のコンピュータに不法に侵入すること)
⑥ social engineering(権限のある利用者などから、心理的な策略によりパスワードなどの情報を盗み取ること)
⑦ piggybacking(他人のwi-fiへの無断接続など)
NIST作成のCSF(Cyber Security Framework)の機能(5つ)
① identify(特定。脅威を認識し、対応が必要なリスクを特定)
② protect(防御。適切な防御策の検討・実施)
③ detect(検知。催場攻撃の発生を検知)
④respond(対応。検知したサイバー攻撃への対処)
⑤ recover(復旧。サイバー攻撃を受けたデータやサービスの復旧)
ITシステムに係るリスク管理プロセス(4つ)
① classification & identification of information assets
→ 企業の持つ情報を重要性や機微性で分類し。管理。
② thrests, vulnerability, impact & assessment
→ 分類した情報を、脅威・脆弱性・影響などを考慮し、全体的なリスクを測定。
③ controlの導入
→ 測定されたリスクへの対応を検討。
④ residual riskの受け入れ
→ 許容水準を設定。それを越えるリスクについては、厳格なコントロールの導入によって軽減する。
<情報システム部門の主な役割>
・database administrator
・system analyst
・programmer
・database administrator(データの保管、DBシステムの保守・運営(DBに関するセキュリティ責任も含む))
・system analyst(利用者のニーズ把握、システム設計文書の作成)
・programmer(system analystが作成した設計文書をもとに、プログラミング)
クラウド・コンピューティングに関し、デリバリー方式の分類(3つ)、テナント方式の分類(4つ)は
・デリバリー方式の分類 ①SaaS (Software as a Service) → 特定のアプリを提供するサービス形態。電子メール、グループウェア、顧客管理DBなど。 ②PaaS (Platform as a service) → アプリの実行環境を提供するサービス。OSやミドルウェアなど。 ③IaaS (Infrastructure as a Service) → 仮想化されたコンピュータ環境を提供するサービス。
・テナント方式の分類 ①private cloud → 単独の利用者のみが利用。 ②community cloud → 特定の共同利用者のみが共同で利用。 ③public cloud → 不特定多数の利用者が共同で利用。業界・業種を問わず企業・個人に向けてクラウドコンピューティング環境を提供。 ④hybrid cloud → privateとhybridの双方の利点を活かす形で、両方とも利用するもの。例えば、データセンターにパブリック クラウドを、アプリにプライベート クラウド環境を組み合わせることなど。
クラウド・コンピューティングの利点(4つ)、欠点(5つ)
①利点 ・ハードの投資や人的リソースを抑制できる。 ・利用料に応じた課金体系のため、利用コストの無駄が少ない。 ・どこからでもインタネットを通じてアクセスできる。 ・メモリやストレージなどの拡張が用意。
②欠点 ・データ量によっては、自社内設置よりも利用料が高くなる。 ・利用企業ごとのカスタマイズの余地が少ない。 ・サービスベンダーの事業継続性の検証が困難。 ・サービス品質に絶対ということはなく、バックアップデータが完全に保証されない。 ・サイバー攻撃の対象となりやすい。
SOCレポート(System and Organization Control report)とは、またその種類と対象(3つ)は
(参考)SOC2レポートの「type1」「type2」。なおSOC3についてはType分類は存在しない。
・type1はある一日について評価。
・type2では一定の期間(半年以上)について評価。
SOC1レポートの対象と種類(2つ)
・SOC1は、受託企業(service organization)の内部統制に関する報告書。
・type 1は「特定日における、内部統制の適合性」の報告書。他方、type 2は「ある期間における内部統制の適合性および運用の有効性」の報告書。
→ もし受諾企業(user entity)がtype1レポートを受取った場合、運用の有効性(operating effectiveness)を自ら検証する必要が生じるため、type2レポートの方が望ましい。
【18.Corporate Governance】
CG(corporate governance)、RM(risk management)、IC(internal control)の関係は
・CGとは、企業不祥事の防止、企業価値の増大を目的に「企業経営(経営者)を規律する仕組み」のこと。
・RMは、GCを達成するための手段。自社が取るべきリスクの度合いを見極め、応じた事業戦略を策定すること。
・ICは、受け入れたリスクに応じ、適当なコントロールを組織内に構築すること。
・以上の関係をchain of ends and means(目的と手段の連鎖)という。
CGが必要とされる理由とその対応(2つ)
・経営者は時に、自己の報酬や名誉の最大化を優先し、株主の利益を相反する行動を取る可能性がある。いわゆる委託者と代理人の利害が必ずしも一致しないといった「agency problem」。
・主な対応策は2つ。
① 株主と経営者の利害の一致
→ モニタリング・システム(株価など市場の評価、社外取締役による監視)、インセンティブ・システム(stock option)
② 情報の非対称性の緩和
BoDの義務と機能、また設置される委員会(3つ)
・義務は、fiduciary duty。機能は、decison-making functionおよびsupervisory function。
① nominaring committee(取締役候補者の作成)
② compensation committee(取締役および執行着員の報酬)
③ audit committee(会計監査人の指名、会計監査人からの報告)
→ 原則、全ての委員会の委員は、independent directorである必要。
→ audit comitteeのうち、一人はfinancial expert(NYSE規則では、全員がfinanciallu literateである必要)。
・SOX法にCGに関するアプローチの変化
・301条(監査委員会) ・302条(財務報告に関する責任) ・404条(内部統制) ・406条(倫理規範) ・407条(監査委員会の財務専門家) ・906条(財務報告に関する刑事責任)
・SOX法は、CGに関し(これまで市場重視型から、)組織重視型へと変化。
・301条(監査委員会)全員をindependent directorに。 ・302条(財務報告に関する責任)CEOおよびCFOの宣誓書の提出。 ・404条(内部統制)ICFRも監査の対象に。 ・406条(倫理規範)財務担当役員に対する倫理規定の策定・開示。 ・407条(監査委員会の財務専門家)監査委員会に1人以上の財務専門家。 ・906条(財務報告に関する刑事責任)20年以下の禁固、500万ドル以下の罰金。
大規模な公開会社において、社内で、IC手続の評価に責任を負う者は
取締役会に報告を行うinternal auditのスタッフ
【19.Enterprise Risk Management】
ISO 31000 risk management(2009年公表)の概要
COSO-ERMとは
・Treadway Commissionが、2004年に公表。2017年に改訂。
・戦略や事業目的の達成、そして価値の創造と一体をなすリスク管理のフレームワーク。
COSO-ERMの5つのinterrelated components
① governance & culture
→ 組織のtoneを定め、全社的なRMの重要性を強固にし、RMに関する監督責任を確立。文化は、意思決定に反映。
② strategy & objective-setting
→ 組織は「risk appetite」の設定を、戦略の設定と連動して行う。
③ performance
→ リスクを識別し、アセスメントを行う。「risk response」を選択し、パフォーマンスへの変化を確認。
→ その際、Business context、Prioritization of risk、Risk severityなどを考慮。
④ review & revision
→ 目標に対する実績のレビュー。
⑤ information, communication & reporting
→ 内外の情報を収集し、組織全体で共有するプロセス。
risk response(5つ)
① accept(リスクの重大性を変更するための行動を取らない。risk apperiteの中に納まている場合には適切)
② avoid(リスクを除去すえうための行動。製品ラインの廃止、事業部の売却など)
③ pursue(増加したリスクを受入れ)
④ reduce(リスクの重大性を低減するための行動)
⑤ share(外注、保険の購入など)
ERMの限界(5つ)
① human judgement(判断ミス) ② breakdown(機能停止) ③ collusion(社員同士による共謀) ④ cost versus benefit(費用対効果) ⑤ management override(経営者による無効化)
(参考) management overrideは不正な目的のため、方針や手続きを無効にすること。他方、management interventionは正当な目的にために、無効にすること。
【20.Inernal Control】
COSO-ICとは
・Treadway Commissionが、1992年に公表。2013年に改訂。
・2009年、Guidance on moniteringを公表。
・COSO-ICは、経営者の組織に対する統制力、取締役会のICに対する監督力を強化を目的。
(参考)COSO-ERMは、2004年に公表。2017年に改訂。
COSO-ICに関するobjectves(3つ)とcomponents(5つ)
・objectives
① operations
② reporting
③ compliance
・components ① control enviroment ② risk assessment ③ control activities ④ infomation & communication ⑤ monitering activities
ICが有効に機能するための前提条件(2つ)
・5 components are present and functioning.
・5 components are operating together in an integrated manner.
Guidance on monitering IC systemのステップ(4つ)
① control baseline(現行のICの設計・実施状況を理解) ② change identification(変更の要否を識別) → ongoing activities(日常的監視活動)、separate evaluation(個別的評価) ③ change management(変更の設計および導入評価) ④ control revalidation(再検証)
【代表的な組織図】
