統一論題テーマ:経営の統制基盤を支えるシステム監査
|
| 発表者名 |
テーマ |
要旨 |
(株)野村総合研究所
理事長
村上 輝康 氏 |
基調講演
「信頼資産と情報セキュリティ」
The Corporate Trust Asset and Information Securities |
システム監査が経営管理上の重要な要素のひとつであるという認識は、日本企業の中に着実に根付きつつある。この認識をさらに実効性あるものとして企業経営全体のガバナンスのPDCAサイクルの中に有効に定着させていくためには、経営管理ツールとしての側面を、事業戦略上の意義に結びつけることが重要である。
世紀の変わり目以降の日本経済においては、企業の価値創造の重心が、次第に、企業の内部から顧客との接点に向けて移りつつあるといえる。そのような傾向のなかで重要となってくるのは、顧客の企業活動全体に対する信頼であり、「信頼資産の醸成」という概念である。信頼資産を構成するものは、個人情報保護対策から始まって、情報セキュリティ、内部統制システム、コンプライアンス体制、コーポレイトガバナンスからCSRまで幅広い領域に及ぶ。この概念を軸に、システム監査の事業戦略上の意義を考察する。
|
あらた監査法人
岸 泰弘 氏 |
研究発表
「経営者評価における問題点」
Issues relating to management test in the context of SOX 404 |
J-SOXの導入に伴い、多くの上場企業が経営者評価の範囲や実施方法について検討しているが、先行事例として米国SOX404条に対応した企業における経営者評価がある。当発表においては、米国SOX404条に対応する過程で各企業が直面した主要な問題点について解説を行う。具体的には、経営者評価の各フェーズ(プロジェクトの立上げ、統制の文書化、統制の設計・運用テスト、欠陥の評価)において発生しがちな主要な問題点を挙げると共に、それらへの対応のヒントについて説明する。経営者評価は財務報告の信頼性に係る内部統制全体に係るが、当発表においては、システムに関連する部分(IT業務処理統制、IT全般統制)に焦点を当てる。説明においては、できる限り具体的な事例を挙げるよう心がけるが、個社特有の現象にではなく、一般的に当てはまりそうな問題を優先して取り上げる。 |
情報セキュリティ専門監査人部会
黒川 信弘
(松下電器産業) |
専門監査人部会報告1
「情報セキュリティに関わる人材の体系化とキャリアパスの提言−情報セキュリティ専門監査人部会活動報告−
The systematize of human resource concerned in Information Security and the proposal of career path |
ITが社会に深く浸透するに及んで情報セキュリティの重要性が日増しに高まってきた。今や情報セキュリティに関する知識やスキルは社会生活を送るすべての人に必要とされる時代である。また、情報セキュリティ専門監査人 (CMAIS)に代表されるような高度なスキルを保有する専門家の必要性とその育成も喫緊の課題である。しかし、どのような人材がどのくらい必要なのか、あるいいはどのように育成したらいいのか、明確な指針や手法が存在しているわけではない。そのような中、企業は手探り状態で情報セキュリティ人材の活用と育成を行っているのが現状である。
本稿では、企業・組織体が必要としている情報セキュリティ人材の人材類型を体系的にまとめあげ、必要とされるスキルとそのレベルをマッピングし、その育成のためのキャリアパスの概要を示した。併せてそれらの中でCMAISの位置づけを示し、その活用場面の提言も行った。
(学会論文 発表予定) |
個人情報保護専門監査人部会
稲垣 隆一
(稲垣隆一法律事務所)
|
専門監査人部会報告2
「個人情報保護−最近の動向と個人情報保護専門監査人部会の活動−個人情報保護専門監査人部会活動報告」
Personal Data Control and Security in 2007- Activities of Certified Master
Auditors for privacy Protection branch |
個人情報保護にかかわる最近の動向と個人情報保護専門監査人部会の活動状況を概観します。 |
会計システム専門監査人部会
松尾 明
(青山学院大学大学院)
|
専門監査人部会報告3
「会計システム専門監査人部会活動報告」
|
(準備中 )
|
情報セキュリティ研究プロジェクト
水谷 穣
(水谷情報技術士事務所) |
研究プロジェクト発表1
「情報セキュリティの壁 “ヒュ−マンエラー”への対応策−情報セキュリティ研究プロジェクト成果報告-」
The rules and knowledge to prevent human errors in information security
management-Report of information security research project -
|
情報セキュリティ対策が講じられていても、情報流出事故はあとを絶たないことを考え、その原因の大半を占める不注意(ヒューマンエラー)に目をむけた情報セキュリティ対策の必要性に注目し、ヒューマンエラーを類型化し、発生可能性を事例で示し、その対策例を提案する。
・ヒューマンエラーによる情報流出の事例について
・情報セキュリティ研究プロジェクトの活動経緯の説明
・ヒューマンエラーの類型化の説明(18種類の絞る)
・ヒューマンエラーとその影響と対策例についての具体的事例を用いた解説
・情報セキュリティ確保に必要な意識について解説
|
リスクマネジメント研究プロジェクト
黒澤 兵夫
(TAKE国際技術士研究所) |
研究プロジェクト発表2
「システム監査と事業継続マネジメント(BCP/BCM)の考察について
−システム監査における事業継続マネジメント(BCP/BCM)の位置づけと課題−リスクマネジメント研究プロジェクト成果報告−」
About consideration of Systems Audits and the Business Continuation Management
(BCM) −Positioning and problem of the Business Continuation Management
(BCP / BCM) in Systems Audits .
|
今日、企業は地震や台風による自然災害、インフラトラブル、テロ、人為的な危害、コンピュータやネットワークによる情報システム障害等を始め潜在的なものも含め種々なリスクがある。このように企業を取巻くリスクとその原因を十分に把握し、これらに対応および管理すべく企業自身による対策の確立と運用が必要である。企業が危機に直面した時、事業を継続して遂行できるか否かが企業責任として問われるのである。リスクに素早く、適切に対応し処置するには、厳格な計画の策定、人的・物的な資源の割当と対策費および運用とマネジメントが必要である。
この企業の存続に関わる重要な事業戦略として位置づけられる事業継続計画(BCP)および事業継続管理(BCM)は、現システム監査基準において適切かつ的確に監査できるように記載されているか、また、この趣旨に沿うための対応について考察する。
|
情報セキュリティ監査基準・管理基準研究プロジェクト
木村 裕一
(日本情報処理開発協会)
|
研究プロジェクト発表3
「保証型情報セキュリティ監査」内容の明確化と保証について−情報セキュリティ監査基準・管理基準研究プロジェクト成果報告−」
|
(準備中 ) |
システム監査基準・管理基準研究プロジェクト
原 浩之
(サイバーアイ) |
研究プロジェクト発表4
「システム管理基準と内部統制監査−システム監査基準の中小企業を取り巻く内部統制への適用例−システム監査基準・管理基準研究プロジェクト成果報告」
|
(準備中 ) |
内部統制研究プロジェクト
清水 惠子
(公認会計士)/
三浦泰史
(三浦泰史公認会計事務所)
|
研究プロジェクト発表5
「日本的な内部統制の課題−内部統制研究プロジェクト成果報告−」
|
(準備中 )
|
IT内部統制を支援するシステム監査研究プロジェクト
松田 貴典
(大阪市立大学大学院) |
研究プロジェクト発表6
「「ITガバナンス時代のシステム監査」の研究−IT内部統制を支援するシステム監査研究プロジェクト 成果報告−」
Required Systems Auditing on IT Governance age
- Research Project Report of IT Internal Control supported by System Auditing -
|
システム監査学会近畿地区研究プロジェクトは、「ITガバナンス時代のシステム監査」をテーマにほぼ1年間、ISACA(情報システム・コントロール協会)とともに共同研究を実施してきた。
研究開始当初は,2005年12月8日に公表された「財務報告の係る内部統制の評価及び監査の基準のあり方」(企業会計審議会)を中心にその内容について理解を深めた。しかし、本研究会では、ITガバナンスの確立のためには「システム監査」が重要な役割を果たすことになり、また、その基準となるべきものは「システム管理基準」であることの認識で、具体的なシステム監査の視点、あり方などを研究し、中間報告として公開シンポジウム「ITガバナンス新潮流でのシステム監査」(2006年10月7日,大阪市立大学)で発表した。そして、その後もITガバナンス確立のための「システム監査のあるべき姿」を討議し、その成果と課題について報告する。
|
