システム監査学会-設立30周年記念研究大会講演・報告要旨

研究プロジェクト＆専門監査人部会要旨

【会計システム専門監査人部会】「内部統制における会計システムの昔と今」 “Past and future of Accounting system in internal control”
Right Way・SAC（株）　平塚康哲氏
会計システム専門監査人制度は、発足当時にあったその時代の社会的背景から、適切な内部統制がシステム(IT)により実現される事を推進する役割の一端を担うという様な、社会への貢献を目的として制定されました。10年以上経った今、大企業の不正会計がまだ報じられる様になりました。悪い歴史が繰り返されている様な既視感は否めません。再度過去の出来事を思い起こし、今後の教訓として再認識する必要があると思います。併せて当部会でこれまでに作成した成果物をご紹介し、また、部会として今後調査研究を継続的に行う予定である、今の時代における会計システムの状況と新しいIT統制監査について、昨年度中にまとめた内容をご紹介致します。

【会計システム専門監査人部会】
「内部統制における会計システムの昔と今」
“Past and future of Accounting system in internal control”

Right Way・SAC（株）　平塚康哲氏

　会計システム専門監査人制度は、発足当時にあったその時代の社会的背景から、適切な内部統制がシステム(IT)により実現される事を推進する役割の一端を担うという様な、社会への貢献を目的として制定されました。10年以上経った今、大企業の不正会計がまだ報じられる様になりました。悪い歴史が繰り返されている様な既視感は否めません。再度過去の出来事を思い起こし、今後の教訓として再認識する必要があると思います。併せて当部会でこれまでに作成した成果物をご紹介し、また、部会として今後調査研究を継続的に行う予定である、今の時代における会計システムの状況と新しいIT統制監査について、昨年度中にまとめた内容をご紹介致します。

【「情報セキュリティ」研究プロジェクト＆情報セキュリティ専門監査人部会】「中小企業のサイバーセキュリティ経営の枠組みの一考察」 “Consideration for Cyber Security Management framework of SME(small and medium enterprises)”
田中良治氏
サイバーセキュリティに関するリスクが増大し、中小企業が踏み台とされるケースも報告されている中、サイバーセキュリティ経営ガイドライン等、中小企業を対象とする公表資料も多くなっている。中小企業では、セキュリティ人材が不足している状況を踏まえ、本研究では、当該中小企業経営者が理解、把握、実践する上でまさに優先すべき事項をコンパクトにまとめ、考察する。

【「情報セキュリティ」研究プロジェクト＆情報セキュリティ専門監査人部会】
「中小企業のサイバーセキュリティ経営の枠組みの一考察」
“Consideration for Cyber Security Management framework of SME(small and medium enterprises)”

田中良治氏

　サイバーセキュリティに関するリスクが増大し、中小企業が踏み台とされるケースも報告されている中、サイバーセキュリティ経営ガイドライン等、中小企業を対象とする公表資料も多くなっている。中小企業では、セキュリティ人材が不足している状況を踏まえ、本研究では、当該中小企業経営者が理解、把握、実践する上でまさに優先すべき事項をコンパクトにまとめ、考察する。

【「マイナンバー特別」研究プロジェクト＆個人情報保護専門監査人部会】「マイナンバーとシステム監査について～事例・ヒアリング結果と課題～」 "My number systems and Systems audits ～ Case studies ・ interview Results and Problems ～"
CISA 白川里至氏
マイナンバーについて３件（サービス業、自治体、パッケージベンダ）のヒアリングを行い、システム監査が果たすべき点及び課題について調査・検討をした。それぞれの業種の特徴とマイナンバー及びシステム監査のポイントについてまとめ、また、管理基準の共通業務の監査の観点を検討した。

【「マイナンバー特別」研究プロジェクト＆個人情報保護専門監査人部会】
「マイナンバーとシステム監査について～事例・ヒアリング結果と課題～」
"My number systems and Systems audits ～ Case studies ・ interview Results and Problems ～"

CISA 白川里至氏

　マイナンバーについて３件（サービス業、自治体、パッケージベンダ）のヒアリングを行い、システム監査が果たすべき点及び課題について調査・検討をした。それぞれの業種の特徴とマイナンバー及びシステム監査のポイントについてまとめ、また、管理基準の共通業務の監査の観点を検討した。

【「リスクマネジメント」研究プロジェクト】「システム監査と事業継続マネジメントシステム（BCMS）～中小スーパーにおける採用環境の厳しさがもたらすリスク管理の変化～」 "BCMS: Business Continuity Management System －Changes of Risk Management caused by severe hiring environment in small and medium supermarkets.－"
足立憲昭氏
当研究プロジェクトは、事業継続マネジメントシステムについてJRMS2010成熟度モデルを活用しながら、各レベルにおけるマネジメントスタイルの特徴を研究してきた。メンバーが、中小企業で起こる事件・事故の背景について、多面的にディスカッションを重ねて研究している。　今年度は、昨年度注目した「事業継続マネジメントシステムの有効性評価」として取り上げた時間軸(復旧時間)、ヒト・組織軸（熟練度）、公共機関軸(連携度)を深堀した。具体的には、現場責任者へのヒアリングを行った結果、ヒト・組織軸（熟練度）の現状の厳しさを再認識させられた。このことが、他の時間軸（復旧時間）、公共機関軸（連携度）へも密接に影響することが成果として見え、また、公共機関と連携を深めるためにもミドル層の「コミュニケーションスキル（ファシリテーション等）」が必須であると考察した。当研究プロジェクトの中心テーマである、「従業員を人財として大切にしている企業」という観点が、ますます重要となっている。

【「リスクマネジメント」研究プロジェクト】
「システム監査と事業継続マネジメントシステム（BCMS）～中小スーパーにおける採用環境の厳しさがもたらすリスク管理の変化～」
"BCMS: Business Continuity Management System
－Changes of Risk Management caused by severe hiring environment in small and medium supermarkets.－"

　　足立憲昭氏

　当研究プロジェクトは、事業継続マネジメントシステムについてJRMS2010成熟度モデルを活用しながら、各レベルにおけるマネジメントスタイルの特徴を研究してきた。メンバーが、中小企業で起こる事件・事故の背景について、多面的にディスカッションを重ねて研究している。
　今年度は、昨年度注目した「事業継続マネジメントシステムの有効性評価」として取り上げた時間軸(復旧時間)、ヒト・組織軸（熟練度）、公共機関軸(連携度)を深堀した。具体的には、現場責任者へのヒアリングを行った結果、ヒト・組織軸（熟練度）の現状の厳しさを再認識させられた。このことが、他の時間軸（復旧時間）、公共機関軸（連携度）へも密接に影響することが成果として見え、また、公共機関と連携を深めるためにもミドル層の「コミュニケーションスキル（ファシリテーション等）」が必須であると考察した。当研究プロジェクトの中心テーマである、「従業員を人財として大切にしている企業」という観点が、ますます重要となっている。

【「情報セキュリティ対策の診断」研究プロジェクト】「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」 “Study of the CSIRT introduction to defend the cyber attack to the small and medium enterprises”
NPO法人OCP研究所　赤尾嘉治氏
高度サイバー攻撃対策として、府省庁や行政機関などに向けては、NISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略」等で、CSIRT（Computer Security Incident Response Team）の導入を施策化している。民間企業（特に中小企業）については、「サイバーセキュリティ経営ガイドライン」が公表されCSIRTの整備を推奨しているが、対策は一部の企業を除き普及していない。　セキュリティの対策が進まない要因として中小企業の経営者が自社における現実的な高度サイバー攻撃の脅威や影響の大きさを十分に認識することが難しく、また、リスクを認識できたとしても、その後、CSIRT導入にむけて何をなすべきかの具体的な手順が明確になっていないことが挙げられる。そこで、「情報セキュリティ対策の診断」研究プロジェクトは、経営者がサイバー攻撃リスクを明確に認識する方法、CSIRT導入を決断するまでの手順およびCSIRT導入のための社内対応について研究した。その研究過程においては、CSIRT導入を、事業の必要性に合わせて進めることが出来るように考慮した。（2015年度からの継続研究である）

【「情報セキュリティ対策の診断」研究プロジェクト】
「中小企業へのサイバー攻撃を防御するためのCSIRT導入の考察」
“Study of the CSIRT introduction to defend the cyber attack to the small and medium enterprises”

NPO法人OCP研究所　赤尾嘉治氏

　高度サイバー攻撃対策として、府省庁や行政機関などに向けては、NISC（内閣サイバーセキュリティセンター）の「サイバーセキュリティ戦略」等で、CSIRT（Computer Security Incident Response Team）の導入を施策化している。民間企業（特に中小企業）については、「サイバーセキュリティ経営ガイドライン」が公表されCSIRTの整備を推奨しているが、対策は一部の企業を除き普及していない。
　セキュリティの対策が進まない要因として中小企業の経営者が自社における現実的な高度サイバー攻撃の脅威や影響の大きさを十分に認識することが難しく、また、リスクを認識できたとしても、その後、CSIRT導入にむけて何をなすべきかの具体的な手順が明確になっていないことが挙げられる。そこで、「情報セキュリティ対策の診断」研究プロジェクトは、経営者がサイバー攻撃リスクを明確に認識する方法、CSIRT導入を決断するまでの手順およびCSIRT導入のための社内対応について研究した。その研究過程においては、CSIRT導入を、事業の必要性に合わせて進めることが出来るように考慮した。（2015年度からの継続研究である）

【「法とシステム監査」研究プロジェクト】「最近のシステム開発をめぐる判例とシステム監査」 “Case related to recent system development and system audit”
多和田肇氏
法とシステム監査研究会では最近のシステム開発をめぐる判例を検討し、紛争にならないためにシステム監査がどのように関与できるかといった点について検討した。　その内容を報告し、あわせて、今後のシステム監査、システム管理基準のあり方に提言を行う。

【「IT監査保証の判断基準」研究プロジェクト】「サイバー時代のITと監査」 “Auditing Information Technology in the Cyber age”
システム監査技術者、CIA、CISA　成田和弘氏
「IT監査保証の判断基準」研究プロジェクトでは、ドラッカーの「テクノロジストの条件」を基本書とし、「Information Integrity」と「COSO in the cyber age」の仮訳とその研究、ヘルスケアおよび金融における事例研究、COBITのアセスメント、サイバーセキュリティ対応等の日米の比較などの研究によるその後の環境変化の観察を踏まえ、サイバー時代に対応するITおよびその監査保証の判断基準について検討した。その成果について報告を行う。

【「IT監査保証の判断基準」研究プロジェクト】
「サイバー時代のITと監査」
“Auditing Information Technology in the Cyber age”

システム監査技術者、CIA、CISA　成田和弘氏

　「IT監査保証の判断基準」研究プロジェクトでは、ドラッカーの「テクノロジストの条件」を基本書とし、「Information Integrity」と「COSO in the cyber age」の仮訳とその研究、ヘルスケアおよび金融における事例研究、COBITのアセスメント、サイバーセキュリティ対応等の日米の比較などの研究によるその後の環境変化の観察を踏まえ、サイバー時代に対応するITおよびその監査保証の判断基準について検討した。その成果について報告を行う。

【「ITを利用したガバナンス」研究プロジェクト】「ITの利用による業務の効率性とガバナンス」 “Governance of IT for efficiency of business”
公認会計士　清水惠子氏
日本の企業のITへの投資の効果はともすると人員削減等のコスト削減で評価されがちであるが、現行業務を単純にIT化するのではなく、サービスの提供スピードや品質において他社との差別化を図るITを導入できれば、近年の人手不足を補うだけでなく、収益力の向上と合わせて飛躍的に一人当たりの労働生産性をあげることができる。そのようなサービスを生み出すBigデータ、クラウド等の新技術を利用していく際に、留意すべきは、新技術の利用および外部提供のITを利用することのリスクである。このような環境において業務の効率化を図りつつ自社のサービスの信頼性を担保するためには何が必要かを内部統制とガバナンスの観点で検討する。

【「ITを利用したガバナンス」研究プロジェクト】
「ITの利用による業務の効率性とガバナンス」
“Governance of IT for efficiency of business”

公認会計士　清水惠子氏

　日本の企業のITへの投資の効果はともすると人員削減等のコスト削減で評価されがちであるが、現行業務を単純にIT化するのではなく、サービスの提供スピードや品質において他社との差別化を図るITを導入できれば、近年の人手不足を補うだけでなく、収益力の向上と合わせて飛躍的に一人当たりの労働生産性をあげることができる。そのようなサービスを生み出すBigデータ、クラウド等の新技術を利用していく際に、留意すべきは、新技術の利用および外部提供のITを利用することのリスクである。このような環境において業務の効率化を図りつつ自社のサービスの信頼性を担保するためには何が必要かを内部統制とガバナンスの観点で検討する。

【「システム監査の多様性」研究プロジェクト】「システム監査の多様性研究プロジェクト最終報告－新技術・新制度に関する監査の視点－」 “Final Report by "Diversity in System Audit" Research Project - Audit perspective on new technology and system -”
京都聖母女学院短期大学　荒牧裕一氏
ICT を利用した情報システムが高度化し適用範囲が広がるに従って、システム監査においても従来と違う視点が求められている。本研究会では、このように多様化する情報システムについて、システム監査の視点からの検討・討議を行っている。今回その４年間の活動の最終年度を終え、その成果報告として、新技術・新制度に関する監査を中心とした研究成果について報告する。

【「システム監査の多様性」研究プロジェクト】
「システム監査の多様性研究プロジェクト最終報告
－新技術・新制度に関する監査の視点－」
“Final Report by "Diversity in System Audit" Research Project
- Audit perspective on new technology and system -”

京都聖母女学院短期大学　荒牧裕一氏

　ICT を利用した情報システムが高度化し適用範囲が広がるに従って、システム監査においても従来と違う視点が求められている。本研究会では、このように多様化する情報システムについて、システム監査の視点からの検討・討議を行っている。今回その４年間の活動の最終年度を終え、その成果報告として、新技術・新制度に関する監査を中心とした研究成果について報告する。

研究発表セッション要旨

システム監査とソフトウェアライフサイクルプロセス～ IT 紛争防止への一考察～ “System Audit and Software Lifecycle Process～ A study of prevention of IT disputes ～”
芳仲宏氏
企業におけるシステム監査は、主に企業のIT 活動を対象とした助言型監査が行われているが、公表されているIT 紛争の実態を見聞するにつけ、IT 紛争防止の視点からの、システム監査が望まれる。　ソフトウェアライフサイクルプロセスを俯瞰した共通フレームに記載されている「取得プロセス（ユーザ）、供給プロセス（ベンダ）、合意・契約の変更管理プロセス」の視点をベースに、プロジェクトマネジメントと協力義務につき指摘し、IT 紛争防止に役立てたい。これらの指摘に合わせて、情報セキュリティ他の最新動向等を、策定以来、永年経過したシステム監査基準・管理基準に反映させる参考になれば幸いである。

システム監査とソフトウェアライフサイクルプロセス～ IT 紛争防止への一考察～
“System Audit and Software Lifecycle Process～ A study of prevention of IT disputes ～”

芳仲宏氏

　企業におけるシステム監査は、主に企業のIT 活動を対象とした助言型監査が行われているが、公表されているIT 紛争の実態を見聞するにつけ、IT 紛争防止の視点からの、システム監査が望まれる。
　ソフトウェアライフサイクルプロセスを俯瞰した共通フレームに記載されている「取得プロセス（ユーザ）、供給プロセス（ベンダ）、合意・契約の変更管理プロセス」の視点をベースに、プロジェクトマネジメントと協力義務につき指摘し、IT 紛争防止に役立てたい。これらの指摘に合わせて、情報セキュリティ他の最新動向等を、策定以来、永年経過したシステム監査基準・管理基準に反映させる参考になれば幸いである。

ソーシャルメディアのインシデントの実践的対応力を育成するロールプレイ型学習プログラムの研究 “Study of role-play type learning program to foster practical response ability of incident occurring in social media”
（株）電脳商会　西澤利治氏
ソーシャルメディアに生じる「炎上」や「祭り」などのインシデントは、発言者が直接的なリスクを認識しにくく他者に対する影響を実感しにくいため、意図せず被害者になることも珍しくない。各種ソーシャルメディアが一般に利用されるようになり、こうしたインシデントに遭遇する機会も増加しているが、知識や技術だけで対応することは難しく、予想以上に問題が拡大し手が付けられなくなることも多い。そこで、ソーシャルメディアのインシデントの実践的対応力を育成するため、現実のインシデント事例をシナリオに用いたロールプレイ型学習プログラムを開発したので報告する。

ソーシャルメディアのインシデントの実践的対応力を育成するロールプレイ型学習プログラムの研究
“Study of role-play type learning program to foster practical response ability of incident occurring in social media”

（株）電脳商会　西澤利治氏

　ソーシャルメディアに生じる「炎上」や「祭り」などのインシデントは、発言者が直接的なリスクを認識しにくく他者に対する影響を実感しにくいため、意図せず被害者になることも珍しくない。各種ソーシャルメディアが一般に利用されるようになり、こうしたインシデントに遭遇する機会も増加しているが、知識や技術だけで対応することは難しく、予想以上に問題が拡大し手が付けられなくなることも多い。そこで、ソーシャルメディアのインシデントの実践的対応力を育成するため、現実のインシデント事例をシナリオに用いたロールプレイ型学習プログラムを開発したので報告する。

業種別の全社的リスクとIT ガバナンス体系 “ERM by industry and so IT Governance”
（株）AStar 総合研究所　宮城郁美氏／猿田礎氏／萩原功氏
インダストリー4.0（独：Industrie4.0）とIIOT（IndustrialInternet of Things）つまり、AI、CLOUD、Big Data、Mobile 等のプラットフォームを基盤としたワンストップ技術の振興が相関し、情報セキュリティの範囲が広がりを見せている。このことは、システム監査の多様化を促し、需要も加速していることを意味する。一方で、経営や戦略の視点から統合管理するフレームワークとしてのCOSO-ERM を進化させ、新COSO-ERM の整備が進行していることから、全社的リスクアプローチによるIT ガバナンスを業種別に整理しておくべきであると考える。　小論では、当社の監査事例や昨今の他社事例を紐解きながら、業種別に企業の全社的リスクとIT ガバナンス体系を整理するとともに、価値あるIT とは何かを論じるものである。

業種別の全社的リスクとIT ガバナンス体系
“ERM by industry and so IT Governance”

（株）AStar 総合研究所　宮城郁美氏／猿田礎氏／萩原功氏

　インダストリー4.0（独：Industrie4.0）とIIOT（IndustrialInternet of Things）つまり、AI、CLOUD、Big Data、Mobile 等のプラットフォームを基盤としたワンストップ技術の振興が相関し、情報セキュリティの範囲が広がりを見せている。このことは、システム監査の多様化を促し、需要も加速していることを意味する。一方で、経営や戦略の視点から統合管理するフレームワークとしてのCOSO-ERM を進化させ、新COSO-ERM の整備が進行していることから、全社的リスクアプローチによるIT ガバナンスを業種別に整理しておくべきであると考える。
　小論では、当社の監査事例や昨今の他社事例を紐解きながら、業種別に企業の全社的リスクとIT ガバナンス体系を整理するとともに、価値あるIT とは何かを論じるものである。

▲このページのトップに戻る

研究プロジェクト ＆ 専門監査人部会要旨

研究発表セッション要旨

研究プロジェクト＆専門監査人部会要旨