JSSA システム監査学会
  

2009年度第23回研究大会講演要旨

(2009/6/5 updated)


ホーム研究大会>2009年度第23回研究大会講演要旨

統一論題「MOT(技術経営)、リスク管理、そしてシステム監査の連携」
"Management of Technology, Risk Management, and Systems Auditing"


講演要旨一覧
<講演>
 「ERM環境におけるシステム監査の方向性について」
  "A Perspective of Information Systems Auditing Based on ERM Environment"
東洋大学 総合情報学部  教授    島田 裕次  氏
 「企業を取り巻くリスクは、業種や企業によってさまざまであり常に変化している。経営者は、こうしたリスクに対応するために、ERM(全社的リスクマネジメント)の構築に関心をもっている。ITリスクは、ERMが対象とするリスクの一部である。しかし、ITがビジネス活動の重要な基盤となっているので、ITリスクに対するコントロールを点検・評価するシステム監査の重要性は増大している。
 今後、ERMを前提とした経営管理においては、ERMを踏まえたシステム監査が必要になる。そのために、システム監査人は、ITリスクだけに関心をもつのではなく、企業を取り巻くさまざまなリスクに関心をもち、会計監査、業務監査、コンプライアンス監査などと連携を図りながら、システム監査を実施していかなければならない。
 本講演では、システム監査に関する研究と長年の実務経験を踏まえて、ERM環境におけるシステム監査の方向性について検討する。


<基調講演>
 「ビジネスの変化から進化とMOTについて」
  "About Evolution and MOT from a Change in a Business" 
東京工業大学大学院  情報理工学研究科 兼 イノベーションマネージメント研究科
教授  森  欣司  氏   
 技術は日々革新しており、過去のケースと知識をベースにしたものでなく、実社会で今まさに動いているテーマを取り上げ、日々進化するビジネスの背景とスピード、そしてそれにより引き起こされる社会的変化を考慮した戦略策定ができる人財の育成・創出を図る。


<個人情報保護専門監査人部会報告>
 「個人情報に関わる事件・事故の調査分析とシステム監査について」
  "Investigation of Privacy Incidents for Systems Audits"
岡部技術士事務所   岡部 久夫  氏
(株)SCC    内桶 孝雄  氏
 効果的なシステム開発や運用を行うためには、システムの企画段階からのシステム監査が重要な役割を果たす。その目標とするところはリスクアセスメントが合理的に行われたか、結果として妥当なリスクコントロールが組み込まれたか、を監査するところにある。
 本報告では、個人情報に関わる事件や事故について、公開された裁判の資料等から、裁判における争点、原告の主張、被告の主張、裁定などの調査分析を行ない、リスクコントロールの状況や問題点をまとめることで、あるべきリスクアセスメントやリスク対策とそれを担保するためのシステム監査について考察する。

<会計システム専門監査人部会報告>
 報告1「会計システム専門監査人のためのIT内部統制監査実施ガイドの検討」
  "Guide of audit the IT internal control for Certified Master Auditor for Accounting System"
 報告2「SAP ERP IT全般統制監査チェックリスト」
   
NECネクサソリューションズ(株)  吉川 明人  氏
アビームコンサルティング(株)  志村 政一  氏
 J-SOX法によって、企業の財務報告に係る内部統制についての経営者による評価や公認会計士による評価が義務付けられている。
 会計システム専門監査人は、経営者又は公認会計士から依頼されてこれらの評価作業(監査)を支援することが重要な業務である。
 しかしこの業務の作業レベルについては明確になっていなかった。そこで部会のAグループでは、依頼されて企業のIT内部統制監査を行う場合の実施方法例や評価の指針などを「会計システム専門監査人のためのIT内部統制監査実施ガイド」として纏めるべく、検討し、暫定版を作成した。
 このガイドによって、会計システム専門監査人による監査支援業務の内容が明確になり、監査支援業務の質の向上と、依頼者からの信頼を確保することができると考える。


<情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト合同報告>
「情報セキュリティの強化に向けて−ISO27001を利用するヒントとアドバイス−」   
 
ヤフー(株)  安尾 勝彦   氏
 ISO27001を活用し、情報セキュリティを推進する組織の中で、認証基準だからと画一的な取組みになっているケースが散見される。
 それぞれの組織の目的、置かれた環境が異なる中、情報セキュリティの中でも、重点分野が異なる。
 このような課題に対応するため、メンバーが、情報セキュリティの実務を通じて蓄積したノウハウを、ヒントとアドバイスとしてまとめ、多くの組織に役立つことを狙った研究成果である。  また、組織の情報セキュリティ監査にあたる監査人にとっても有用なノウハウとなると思われる。


<リスクマネジメント研究プロジェクト成果報告>
 「システム監査と事業継続マネジメントシステム(BCMS;Business Continuity Management System)について
    −スーパーにおける主たる物流・資金のフロー(モデル)−」    
"About System Audit and Business Continuity Management System
    -Flow of The Main Physical Distribution and Fund in Supermarket-"
(株)NTTデータ   北條  武   氏
 当研究プロジェクトではスーパーにおける物流・資金のフローを題材として、国際間におけるサプライチェインマネジメントシステム(GSCMS:Global Supply Chain Management System)のBCP/BCMを検討してきた。
 従来、システム監査の対象範囲は情報システムのみであった。しかし、ICT(Information and Communication Technology)の深耕化と国際社会におけるサプライチェインマネジメントシステムのインフラ化により、システム監査の対象範囲は情報システムという枠組みを超え、運用面を含めた社会システム全体に拡大せざるを得なくなってきていることを提案する。また、システム監査用のチェックシートの検討結果を述べ、ガイドライン策定と評価につなげる。

 主な研究課題は、次のとおり。
 1.対象とするGSCMSの選定
 2.選定したGSCMSに関するリスクの洗い出し
 3.GSCMSにおけるリスクの分類
 4.GSCMにおけるBCP/BCMに関するチェックシートの全体構成検討
 5.GSCMSにおけるBCP/BCMに関するチェックシートの作成


<情報セキュリティ監査基準・管理基準研究プロジェクト成果報告>
 「情報セキュリティ監査の活用による、企業の情報セキュリティ対策の評価、格付け方法」
  "Evaluation and Rating about Corporate Information Security Measures by the Use of Information Security Audit"
木村 裕一  氏
 情報セキュリティ対策の評価・格付け方法について実証実験を行ったので報告書の雛形を使って紹介し、課題、今後の進め方を報告する。これは昨年の研究大会の報告の続きである。
 まず、格付け診断する企業の内部統制のレベルを判断する。これはCOBITの内部統制レベル付けの考えを参考にして行う。この判断結果を情報セキュリティ対応の点から再確認し、レベルをつける。また別に、当該企業の業種・業務の状況のヒアリング・調査により情報セキュリティ対策の必要性を判断し対策実施状況と対比し、評価を行う。この2つの結果をつきあわせることによって、当該企業の情報セキュリティ対策の格付けを求めるものである。
 今回、この実証実験を通じて具体的な進め方・手順、質問書などを整備したが、実施対象がまだ1社であり、異なる情報セキュリティ環境の企業を対象に検証すること、広く適用させる方法などが今後の課題である。


<内部統制研究プロジェクト報告>
 「長生きする日本の統制」
   "Management of Japan to which it Lives Long"
   報告1「自律的な振舞いを許容する内部統制」
       "Internal Control that Allows Autonomous Behavior"
   報告2「日本の中小企業の卓越性と企業統治モデル」
       "Excellence of smaller Bbusinesses in Japan and a Management Model of the Eenterprises "
        公認会計士  清水 惠子  氏/公認会計士  三浦 泰史  氏
(株)富士通総研   国島 義明  氏
ネットソリューショ コンサルティング  山下 幸三  氏
 世界の長寿企業の比較で見ると日本の企業が圧倒的に多い。200年以上の企業が世界で5,、586社ある中、日本は3,148社(56%)、韓国では200年以上の企業はなく、100年以上が2社のみであるが、日本は、創業1,000年以上は7社、500年以上は32社、100年以上は50,000社ある。これらの長寿企業の90%%は従業員300人以下の中小企業である。
 なぜ日本には長寿企業が多いのか、日本の企業が長い歳月の間耐えることができた秘訣は何だったのか、その理由をひも解くと、外国からの侵略が少なかった等はあるが、本業重視、信頼経営、長期的視点、人材重視、絶えざる変革、質素倹約の勧め等、さらに近江商人の三方よし等の家業が実践した統治等日本の長寿企業を支えた強固な企業統治モデルが見えてくる。
 この長寿企業の企業統治モデルを明らかにして「長生きする日本の統制」を考察したい。


 <GRC-2研究プロジェクト報告>
 「新たに進化させた「GRC」概念−CSRおよびコーポレート・レピュテーションとの関連性−」
  "GRC" concept of newly evolving it - Relativity with CSR and Corporate Reputation -"
大阪成蹊大学/大阪市立大学大学院  松田 貴典  氏
 GRCは企業のガバナンス(Governance),リスク(Risk),コンプライアンス(Compliance)を一元管理していく概念である。2007年度は、このGRCの概念を、企業の内部統制に基づくく、戦略的管理の統合概念として定義づけた。そして、金融商品取引法の施行に伴う内部統制報告書とGRCの実践が始まった。
 そこで、2008年度は、企業の内部統制報告の実施状況や関連業務について、事例紹介を受け討議を行ってきたが、予定したほどの事例がなく、研究は不十分であったといえる。しかし、討議するなかで、これまでGRC概念を進化させる必要がでてきた。それは、食品偽装に代表される企業不祥事や社会公共システムの事故等が、CSR(企業の社会的責任)のみならず、コーポレート・レピュテーションにも悪影響を及ぼすことになるためである。したがって、内部統制に依拠するGRCは、CSRやコーポレート・レピュテーションとの関係性についても明らかにする必要がでてきたのである。


▲このページのトップに戻る