JSSA システム監査学会
  

2008年度第22回研究大会講演要旨

(2008/6/2 updated)

ホーム研究大会>2008年度第22回研究大会講演要旨

統一論題「今求められる経営の変革の視点とシステム監査」
"Required Viewpoints of Management Reform and Systems Audits"


講演要旨一覧
<基調講演>
 今、求められるICTによる経営の変革と課題について
  "ICT for Business Transformation - Opportunities and Challenges"
東京海上日動火災保険(株) 常務取締役  横塚 裕志  氏
 「経営とICTの融合」「ICTを活用した経営改革」というような言葉をしばしば耳にするようになったが、それが具体的にどういうことかというと、あまり定説がないのが実情ではないだろうか。また、経営におけるICTの重要性は疑う余地もないが、ICTをどのように扱えば経営にとってうまく機能するか、経営とICTをどのように融合させるべきか、漠然としたイメージはあるものの、明確な方法論は確立していないのではないか。
 コンピュータが「事務処理機械」として用いられていた20世紀に比べ、21世紀のICTは情報収集・解析、コミュニケーション、制御など、ビジネスや日常生活のあらゆる局面で重要な役割を担っている。のみならず、ICTは変革を引き起こす「触媒」の役割をも果たしている。ICTを経営戦略に活かし、ビジネスを変革していくには、ICTとビジネス双方に関する深い理解、「20世紀型」とは異なる柔軟な発想力、そしてICTを支える人材の育成と動機付けなど、幅広い努力と工夫が必要である。
 本講演では単にそれらの課題に対する回答を提示するのではなく、ご出席の皆様と問題意識を共有し、共に考える場としたい。


<講演1>
 情報セキュリティの投資効果の考え方
  "ROI of Information Security from an management view point"
公認会計士/会計システム専門監査人  清水 惠子  氏
 投資効果は、多くの場合は、その投資による費用の削減、収益の獲得により評価する。環境のように金額ではなく、CO2の削減の数値が算定基礎になるものもある。情報セキュリティ投資については投資に対する明確な収益、CO2のような明確な数値目標がない。このため、企業の経営者もセキュリティ担当者も適正な情報セキュリティ投資の規模が把握しづらい。情報セキュリティは、単にITの技術的な面よりも人的なミスにより漏えい等のインシデントが発生する場合が多い。一つの投資に対する直接的な効果だけではなく、リスクを前提として企業が全体としてそのリスクに対応する情報セキュリティ力を身につけているかの観点から情報投資効果を考えたい。

<講演2>
 JIPDEC調査にみるIT統制の成熟度-理論的な関心からみたその実態-
  "Some observations on the maturity level of IT controls in the JIPDEC research paper"
日本大学  堀江 正之  氏
 2007年10月から12月にかけて実施された(財)日本情報処理開発協会(JIPDEC)のIT統制に関する実態調査結果(IT統制の法対応をめぐる実態、IT統制の成熟度についての意識調査、情報サービス産業における法対応実態からなる総合的な調査)を踏まえて若干の所見を紹介したいと思う。特にIT統制の成熟度にスポットを当てて、「IT統制の構成要素(統制環境、リスク評価、統制活動、情報と伝達、監視活動)のバランス」に注目することがよいかどうかをはじめ、ポストJ-SOXをにらんだ検討を試みる予定である。


<専門監査人部会報告1>
情報セキュリティ専門監査人部会報告「情報セキュリティ監査に役立つ着眼点と監査ノウハウ」   
"Useful practices for Information Security Audits from professional viewpoints"
情報セキュリティ専門監査人部会/(株)バルク  内藤 裕之   氏
 システム監査人が情報セキュリティ監査を行う時、各種基準やチェックリストに基づけば、表面的な実査になりかねないことが懸念される。
 そこで、各種基準やチェックリストには盛り込まれていないような「実態を確認しやすい着眼点」や「具体的な改善アドバイス」につながるノウハウを抽出し、システム監査人に役立つことを狙いに研究活動を続けた成果の報告である。 


<専門監査人部会報告2>
 個人情報保護専門監査人部会活動報告   
"Activities of Certified Master Auditors for Privacy Protection branch"
個人情報保護専門監査人部会/NTTビジュアル通信(株)  清水 政幸   氏
 個人情報保護法施行以来、個人情報保護が定着した感がある。一方、個人情報保護監査については、より現実的な監査のあり方が必要と考えられる。
 当発表においては、人間系に着目した個人情報保護監査のチェック項目の考え方、個人情報保護の事件・事故からみた監査のポイント、個人情報保護の内部統制に関する提言等について報告する。 


<専門監査人部会報告3>
 会計システム専門監査人部会報告
  Aグループ報告「会計システム専門監査人のあり方」 
  "Scope and Standards of Certified Master Auditor for Accounting System”
  Bグループ報告「システム管理基準追補版とSAP ERP統制機能の対比」 
  "Mapping of SAP ERP ITGC functions with the addendum of System Auditing Standards (METI)"
会計システム専門監査人部会/三井情報(株)  高坂 拓也  氏
NECネクサソリューションズ(株)  北村 博喜  氏
(株)ヒラツカコンサルティング  平塚 康哲  氏
 2008年度から施行される金融商品取引法の改正において、IT統制に対し専門監査人として関わる上で、監査活動上必要になると考えられるテーマを部会において討議してきた結果を報告する。 


<研究プロジェクト報告1>
 情報セキュリティ研究プロジェクト成果報告「経営者による情報セキュリティ強化の手引き−あなたの組織のセキュリティ対策は?−」   
"The Guidance for CEOs to Strengthen their Information Security --How Secure Are Your Organizations?--"
        情報セキュリティ研究プロジェクト/ISU  植野 俊雄  氏
 情報セキュリティ研究プロジェクトでは、2007年度研究テーマを「中小組織の情報セキュリティの確立と強化のために役に立つ具体的な方法を提案する」として、1年間研究してきた。
 J-SOX法が適用され、IT統制が緊要となっている時期にもかかわらず、経営者のリスク認識が弱い、セキュリティ知識が低い、セキュリティに対応する人材がいない、等課題を抱える中小組織がある。そうした現状課題を解決させたい想いで検討を行い、『経営者による情報セキュリティ強化の手引き』を作成した。
 この手引きは、ネットワーク等の専門家がいないような中小組織の経営者の内部統制整備を助けるために、経営者が自らの組織の現状をセルフチェックすることで、経営者が本来の責任を自覚し、組織のセキュリティレベルや課題を掌握でき、追加対応の要否を判断し、追加対応が必要であれば実施策の実行を指示することができるようになっている。
 本手引きは、JIS Q 27002規格(「情報技術―セキュリティ技術―情報セキュリティマネジメントの実践のための規範の管理策」)に対応し、そのサブセットとなっているので、発注主から情報セキュリティ対応の評価アンケート等の要請があった場合や、将来ISMSに取り組む時に、これらと整合性を取ることができる内容である。


 <研究プロジェクト報告2>
 リスクマネジメント研究プロジェクト成果報告「システム監査と事業継続マネジメントシステム(BCMS;Business Continuity Management System)の考察について−サプライチェインマネジメントシステム(SCMS)のBCMSとシステム監査のモデル化およびガイドライン−」 
"About Consideration of Systems Audits and Business Continuity Management System (BCMS)
-Modeling and Guideline of BCMS and Systems Audits of Supply Chain Management System (SCMS)-"
リスクマネジメント研究プロジェクト/TAKE国際技術士研究所  黒澤 兵夫 氏
 BCP/BCMの中で、複雑に、またシステム監査の困難性を伴うサプライマネジメントシステム(GSCMS;Global Supply Chain Management System)について課題とする。このGSCMSの事業継続マネジメントシステム(BCMS;Business Continuity Management System)構築にあたりシステム監査におけるガイドラインを作成し、その試行を図る。
 主な研究課題は、次のとおり。
1.対象BCMSモデルおよび課題
 @ GSCMS(Global Supply Chain Management)のBCMS構築
 A BCMSの対象となる保護/継続すべきビジネス/事業戦略
2.検討事項
 @ 重要なサプライヤの種類や範囲の明確化とランク付けおよび重付けと確定を図る。
 A ビジネス/事業の継続の目標に対する自社/自組織の現状を認識し、目標と現状のギャップ解消に向けた戦略を具体的に展開する。
3.BCMSの可視化
  成熟度モデルの作成と評価  等
4.試行結果と改善事項


 <研究プロジェクト報告3>
 情報セキュリティ監査基準・管理基準研究プロジェクト成果報告
「情報セキュリティ監査の活用による企業の情報セキュリティ対策の取組みの評価・格付け」
 "Evaluation and rating about corporate information security measures by the use of information security audit"
情報セキュリティ監査基準・管理基準研究プロジェクト 木村 裕一 氏
 さまざまな企業でセキュリティポリシーを公表し対策実施を宣言している。この対策内容は企業がそれぞれの判断で対応を行っているので、どのような対策を実施しているか内容は明らかではない。セキュリティポリシーの明確な保証はないことになる。
 ここでそれぞれの企業の対応状況を把握するため、必要な対応内容(レベル)を基準として提示し、その内容に基づき評価、監査をすることを提案したい。
 基準はCOBIT成熟度モデルを基にした内容で検討している。これにより企業は、@自己宣言(自身で評価)、あるいはAシステム監査人による認定、によって自社のセキュリティ対策内容を統一基準で評価し、格付けを得たものとしてい公表できる。
 セキュリティ基準を明確にすることは、企業は自社での評価も可能になり、中小事業者にとって取り組みやすいことになり、システム監査人にとって監査活動の裾野を広げることにもつながる。
 この検討に併行して、2007年7月に民間の制度「情報セキュリティ格付け制度研究会」設立の動きがあった。重なることが多いと思われるが、本研究プロジェクトが2006年度大会で報告した情報セキュリティ監査保証協議会」の役割も含めて目的・方法など提案内容を報告する。


 <研究プロジェクト報告4>
 内部統制研究プロジェクト成果報告「今まで解明されていなかった日本の内部統制の研究」

"Japanese original  Internal Control"
内部統制研究プロジェクト/公認会計士/新日本監査法人  清水 惠子 氏
三浦泰史公認会計士事務所  三浦 泰史 氏
ISU  植野 俊雄  氏
 内部統制研究プロジェクトでは、2007年度研究テーマを「日本の内部統制について検討、今まで解明されていなった日本モデルを説明、米国型の内部統制と日本はどう融和するかを検討」として、1年間研究してきた。
 金融商品取引法が適用され、わが国でも内部統制への取組みが慌ただしく行われているが、多くの事例では、まず文書化が先行し、とりあえず形を整えることが優先されているように見受けらる。
 内部統制研究プロジェクトでは米SOXの流れに基づいた内部統制だけでなく、日本古来から行われてきた「日本の統制」を探して、ひも解き、それが現在の企業の内部統制として活用できないかを検討してきた。
 歴史・文化チームが研究した「日本の歴史・文化から考察した内部統制へのアプローチ」と品質管理チームが研究した「高品質製品・サービスを生み出した統制の考えを内部統制に生かすアプローチ」の研究結果を報告する。


 <研究プロジェクト報告5>
 GRC研究プロジェクト成果報告「今求められる経営の変革視点  GRCの意義とその位置づけ」
  "A change viewpoint of management demanded now Significance of the GRC and the positioning"
GRC研究プロジェクト/大阪成蹊大学/大阪市立大学  松田 貴典  氏
 GRCは、これまでここに取り組まれてきたガバナンス(G)、リスク(R)、コンプライアンス(C)を、企業価値を高める有機的な統合概念として定義し、コーポレート・レピュテーションを支える手法として確立させる。

▲このページのトップに戻る