JSSA システム監査学会
  


システム監査学会第38回研究大会


開催日:2024年6月14日(金)

ホーム研究大会>第38回研究大会
第38回研究大会 タイトル

【開催趣旨】
 巷で「内部統制」と言えば、内部統制報告制度(いわゆるJSOX)を意味することがほとんどかと思います。しかし、本来の内部統制は、より広い概念であって、サステナビリティ情報をはじめとした非財務情報や事業体内部向けの報告目的までカバーします。また、コンプライアンスの確保はもとより業務の有効性と効率性向上をも目的とした、まさに経営支援ツールそのものなのです。
 「財務諸表は適正に作成できました。しかし、不正アクセスによって機密情報が流出し、経営に致命的なダメージを受けました」では、何のための内部統制か分かりません。
 2024年4月から適用される新内部統制基準でも、IT利活用の適否が経営を大きく左右する時代を踏まえ、内部統制の基本的枠組みに関連し、ITへの対応についての大きな改訂がなされました。具体的には、IT環境の変化を捉えるIT対応への適時性にも注目すべき点が織り込まれました。その一方で、サプライチェーンも視野に入れたサイバー攻撃への対応など、ITリスクの多様化と影響の拡大化に目を向けるべきことも示されました。
 制度運用に関する規定が改訂されますと、とかく改訂箇所のみの対応に陥りがちとなります。しかし、今般の内部統制基準の改訂の意義は、一旦、原点に立ち返って、本来の内部統制のあり方を見直す機会とすべきではないでしょうか。
 かかる改訂の方向性は、本来的なシステム監査の在り方を見直してみることにも通ずるものと思います。「システム監査=IT統制の評価」ではないからです。経営支援ツールとして機能してはじめてその有用性が認められるという、原点の再確認が必要ではないでしょうか。
 本大会では、内部統制とシステム監査が車の両輪となって、強靭な経営基盤につながり、組織価値の向上に資する運用を目指すような、前向きな議論が展開できれば幸いです。
 学会の研究成果の社会還元を目的として、学会メンバーによって構成される研究プロジェクトの成果報告も予定されています。もちろん本テーマをさまざま専門的な角度から支える研究内容も含まれています。
 最後になりますが、本学会の会員はもとより、コンピュータサイエンス、情報セキュリティ、リスクマネジメント、危機管理、内部統制、内部監査、外部監査・認証などの領域におきまして理論と実践に携われている関係者の方々のご参加をお待ち申し上げております。

【プログラム】午前の部

10:00-
10:05		 開会

<研究プロジェクト等発表(午前)>
10:05-
10:25
<「AI とシステム監査」 研究プロジェクト報告>
AIシステムへのシステム監査適用の考察
Study of Systems Audits/ Management Standards regarding the all use step of AI systems
黒澤 兵夫氏(TAKE国際技術士研究所) 経済産業省・総務省発行のAI事業者ガイドライン案は、AIの利用に関して必要なガバナンスとはどのようなものかについて考察する。AIライフサイクル(開発・提供・利用・改定・廃棄)にわたるリスクの特定・評価・軽減・回避・受容のステップにおいてシステム監査/システム管理基準の必要性や適用性等について検討する。
10:25-
10:45
<「BCP/BCMSと新システム監査制度」 研究プロジェクト報告>
サステナビリティに係る取組みとその情報開示―成功事例と失敗事例―
Sustainability Initiatives and Disclosure: Case Studies of Successes and Failures
長田 芙悠子氏(中央学院大学商学部) 企業にとって、短期的な業績の向上に留まらず、環境対応や社会貢献に向けた長期的な発展が重要な課題となっている。それらの中核となるサステナビリティを主題とした研究を行い、今日的な企業の在り様を考究する。まず、サステナビリティに関するフレームワーク(ISSB開示基準、GRIスタンダード、改正内閣府令等)を取上げ、各々の特徴・カバー範囲並びに差異を明確にする。また、サステナビリティとBCP/BCMSの性格並びに関係性を捉える。次に、それらに関する先行研究を概観し、解明されたことと今後の研究課題の提示を行う。そして、企業がサステナビリティに係る取組みを、特にシステムを利活用して、どのように行っているか、あるいはそれに背反するような事態を招来しているかについて、特徴的な成功事例と失敗事例を通して明確にする。加えて、システム監査がそれらに対してどのように関与すべきかを考究する。
10:45-
11:05
<「次世代のシステム監査」研究プロジェクト報告>
システム監査の視点から見る生成AI
Generative AI considered from a perspective of System Audit
荒牧 裕一氏(かなざわ食マネジメント専門職大学) ChatGPTをはじめとする生成AIの活用は、業務の効率を劇的に改善するという期待がもたれている。その一方、アウトプットの信頼性・正確性への懸念、情報漏洩のリスク、著作権侵害等の法的問題等、様々な疑問や課題も存在している。本PJでは、今年度の取り組みとして、主に生成AIの活用事例やガイドラインに関する研究に取り組んできた。それらを踏まえて、生成AIの活用におけるシステム監査の視点からの留意点について、現時点における中間的なとりまとめの報告を行う。
11:05-
11:25
<「法とシステム監査」研究プロジェクト報告>
AIの利用に関する契約とシステム管理基準 Contracts and system management standards regarding the use of AI
稲野辺敬之氏(いなのべ法律事務所)裁判例で述べられてきたプロジェクト・マネジメント義務の内容につき検討を行ってきた。また、AIの利用に関する契約においては、平成30年に経産省からガイドラインが出されている。本研究会では、上記ガイドライン及び参考資料を読み解いたうえ、上記プロジェクト・マネジメント義務の内容を踏まえ、システム管理基準変更の必要性等について検討する。
11:25-
11:45
<「情報セキュリティ」研究プロジェクト報告>
新27002への対応 - MITER ATT&CKを活用した“脅威インテリジェンス”
Best practices for implementing the new 27002 - Research on “threat intelligence” using MITER ATT&CK
山本 孟氏(システム監査学会 正会員)情報セキュリティ管理策の国際規格ISO27002は2022年の改訂にて新たなサイバーセキュリティへの管理策が追加され、規格名称も「情報セキュリティ,サイバーセキュリティ及びプライバシー保護−情報セキュリティ管理策」に改められた。“脅威インテリジェンス”はその追加された管理策の一つである。情報セキュリティ研究プロジェクトでは、“脅威インテリジェンス”についての研究を行うとともに、代表的な情報源であるMITER ATT&CKの利用方法を検討した。本大会ではその成果を発表する。

【プログラム】午後の部

13:00-
13:05		 会長挨拶システム監査学会 会長   島田 裕次
13:05-
13:15		 ご挨拶経済産業省 商務情報政策局 サイバーセキュリティ課長 武尾 伸隆 氏
13:15-
13:45
招待講演 産業分野におけるサイバーセキュリティ政策
Cybersecurity Policy in Japan’s Industrial Sector
経済産業省 商務情報政策局 サイバーセキュリティ課
サイバーセキュリティ戦略専門官 山田 剛人氏 昨今、サイバー攻撃は高度化、巧妙化しており、政府機関や重要インフラ事業者のみならず、様々な企業が国境を越えてサイバー攻撃の標的になっています。企業においては、サイバーセキュリティリスクを事業リスクとして認識しつつ、サプライチェーン全体を意識したサイバーセキュリティの確保に取り組むことが重要です。本講演では、経営者向けのガイドラインの策定や中小企業向けのセキュリティ対策パッケージの普及・促進の他、ソフトウェア管理手法の一つであるSBOM、IoT機器の評価認証制度など、最近の経済産業省の取組をご紹介します。
13:45-
13:55		 休憩(10分)
13:55-
14:35
基調講演 デジタル時代のシステム監査人に求められる資質
Capabilities required of System Auditors in the digital age
株式会社NTTデータ経営研究所 
主席研究員・エグゼクティブコンサルタント 三谷 慶一郎氏 DXの推進はあらゆる企業等において最も重要な課題のひとつになりつつある。生成AIをはじめとする先進技術の導入や、組織を越えたデータ共有・サービス連携など、従前とは異なる形でのデジタル技術の活用機会は今後ますます増えていくに違いない。また、急激に変動する外部環境に対応するためには、従来のようなシステム完成以前にシステムリスクを最小化するようなマネジメントだけではなく、事後的に生じる新たなリスクに動的に対応していくことも必要になるだろう。本講演では、新しい環境の中で、これからのシステム監査人の役割や求められる資質がどのように変容していくかについて考察したい。

14:35-15:25

鼎談 強靭な経営基盤を支える内部統制とシステム監査

 
Internal Control and Systems Audits: Enabling a Resilient Enterprise Framework
ソフトバンク株式会社 内部監査室 山田 照美氏
システム監査学会 会長 島田 裕次氏
モデレータ:日本大学 商学部・大学院商学研究科教授 堀江 正之氏 従来、経営に対する役立ちといった側面にあまり注意が払われなかった内部統制やシステム監査について、経営価値棄損の回避・低減のみならず、経営価値向上をも視野に入れつつ、実務へのヒントとなるよう、さまざまな観点から議論を行います。
15:25-15:35 休憩(10分)

<研究プロジェクト等発表(午後)>
15:35-15:55
<「IT監査保証の判断基準」 研究プロジェクト報告>
オペレーショナル・レジリエンスの向上とシステム監査
Improving Operational Resilience and Systems Audits for it
遠藤 正之氏(静岡大学)2023年5月に金融庁が公表した「オペレーショナル・レジリエンス確保に向けた基本的な考え方」では、システム障害、サイバー攻撃、自然災害等が発生しても、重要な業務を、最低限維持すべき水準水準(耐性度)において、提供し続ける能力をオペレジ(業務の強靭性・復旧力)と呼び、未然防止策を尽くしてもなお、業務中断が生じることを前提に、利用者目線で早期復旧・影響範囲の軽減を確保する枠組みを求めている。IT監査保証の判断基準研究プロジェクトでは、オペレジに関連する海外規制や国際基準等を調査し、オペレジ向上のための施策とそのシステム監査について検討した。本大会ではその成果を発表する。
15:55-16:15
<「監査の適合性チェックとコンサルティング機能の実効性・有効性の達成」 研究プロジェクト報告>
身の回りにあるミニマムなシステム監査の検討、ランサムウェア対応の簡易監査チェックリスト
Study of minimal system audits around us, Ransomware Response Simplified Audit Checklist
木村 裕一氏(木村システム企画)身近な課題に対してシステム監査を実施し意義を実感してもらう、普及活動の一環とした研究である。
・テーマは情報システムのバックアップ(以下BU)及び復旧対応で、どこの企業でも必要な対応であり課題である。
・システム監査を経験したことが無い企業を対象に、簡易に実施できることに徹底し、効果を実感できる方法を検討した。
監査対応者に合わせたチェックリストを工夫し、監査でランサムウェアによる被害を想定した適切なBUを取得しているか。またそれによるリカバリー対応が適切か、取得したBUを利用しての情報システム復旧の手順を確認しているか確認する。簡易システム監査を実践する監査計画書、監査報告書のひな型を提示する。報告書は監査結果の可視化により身近に認識してもらえる方法を工夫した。「簡易システム監査チェックリスト」「計画書」「報告書」を成果物とする。
16:15-16:35
<「ITガバナンスと内部統制」 研究プロジェクト報告>
「システム管理基準 追補版」と内部統制実施基準改訂について
Effect on “attachment items of System Management Standards” (2007) from revise of “Standards and Practice Standards for Internal Control Over Financial Reporting (2023)”
多和田肇氏(システム監査技術者・CIA・CISA)システム管理基準追補版については改訂されないままに来ている。2023年の実施基準の改訂の影響を確認して利用の際の留意点について発表したい。本発表は中間報告であるので、最終的なものではない。
16:35-16:50
<「先端領域におけるシステム監査のベストプラクティス」研究プロジェクト紹介>
システム管理基準に基づくアジャイル開発・DevOps監査のガイダンス
Guidance for Agile Development and DevOps Audits Based on System Management Guideline
佐藤 稔氏
(株式会社 三井住友銀行 監査部 部長 CIA, CISA, CISM, CAMS, AU) 2023年4月26日に経済産業省から「システム監査基準」「システム管理基準」の改訂版が公開された。「システム管理基準」は、リスクの変化が著しい先端領域をカバーしていない。先端領域を監査する際はリスクに応じたものにする必要はあるものの、着手時の監査の「切っ掛け」はほぼ同じであろう。ついては、本プロジェクトは、先端領域を対象にシステム監査を検討する際に「切っ掛け」となるガイダンスを提供することを目的とする。まずは「アジャイル開発」「DevOps」を対象に、ガイダンスとして、システム管理基準をベースに切っ掛けになりうるリスクとコントロールを明らかにする。今後、他領域にも展開する予定である。
16:50-16:55 閉会

司会 大会実行委員長

【開催要領】

【開催日時】
2024年6月14日(金) 10:00〜16:55
【開催場所】
Zoomオンライン開催(期間限定オンデマンド配信付)

注1)参加には、インターネット接続可能で、Zoomアプリをインストールしたパソコン、スマートフォン、タブレット端末等が必要です。事前にhttps://zoom.us/testに接続し、通信サービスや利用機器、最新アプリの準備等、利用する環境をご確認の上お申し込みください。
注2)Zoomは申込時にご登録いただいたメールアドレスに対して1端末の接続となります。
注3)オンデマンド配信については、専用ページから6/24-7/8の期間限定でご視聴いただく予定です。
注4)オンデマンドの視聴開始については、動画内容確認後となります。オンデマンド配信の承諾を得られなかった講演・発表等、オンデマンド対象外となることがありますのであらかじめご了承ください。

【Zoom接続方法のご案内と配布資料ダウンロードサイトについて】
お申し込みいただいた方には、後日接続方法と、配布資料ダウンロードサイトの情報をPeatixからご案内します。
【定員】
450人(先着順)
【参加申込】
Peatixからお申し込みください。→ https://jssa-20240614.peatix.com
【参加費】
ご参加にはPeatixによる事前申込みとクレジットカードでのお支払いが必要です。
申込期間 会員 後援団体会員 非会員
2024年5月15日(水)〜2024年6月11日(火) 3,000円 4,000円 5,000円

注5)会員とは、システム監査学会の正/学生/賛助会員をいいます。
注6)会員はメルマガで配信される割引コード、後援団体会員は各団体からメール配信される割引コード、またはPeatix申し込み画面の後援団体毎の割引コードを受付時に入力し、該当金額が表示されることを確認してお申し込みください。お支払い後の差額返金は行いませんのでご注意ください。
注7)講演者、発表者の都合や通信状況により、プログラムの一部がオンライン実施できないことがありえますが、すべてのプログラムが実施できない場合を除き、返金はいたしません。
注8)支払はクレジットカードのみです。カード会社から送付される「ご利用明細書」や「引き落とし明細書」が領収書になります。経理上、注文内容の詳細を含む必要がある場合などは、Peatixからのお申込み詳細メールの「領収データ>」をクリックすることで、領収データが入手できます。学会からの領収書は発行いたしません。

【後援団体(予定)】
一般財団法人日本情報経済社会推進協会(JIPDEC)、NPO法人日本システム監査人協会(SAAJ)、ISACA東京支部・名古屋支部・大阪支部・福岡支部、NPO法人日本セキュリティ監査協会(JASA)、日本ITガバナンス協会(ITGI)、日本セキュリティ・マネジメント学会(JSSM)、一般社団法人経営情報学会(JASMIN)、一般社団法人情報処理学会(IPSJ)、公益社団法人日本技術士会(IPEJ)、日本公認会計士協会(JICPA)、日本情報経営学会(JSIM)、一般社団法人日本内部監査協会(IIA-Japan)、NPO法人ITコーディネータ協会(ITCA)、日本監査研究学会(JAA)、日本ガバナンス研究学会(JaGRA)、金融情報システム監査等協議会(FISAC)、NPO法人情報システム監査普及機構(J-AISA)
【資格継続ポイントについて】
大会終了後、アンケートにメールアドレス、氏名を回答いただくと、受講証明をご指定のメールアドレス宛に電子メールでお送りしますので、受講証明をご希望の方はアンケートに回答いただくようお願いいたします。

● 専門監査人の業績ポイントは5ポイント(複数区分の資格を取得している場合は1区分のみ対象)
● 日本公認会計士協会のCPD(現在申請中)については、研修登録番号を6/17までにアンケートで入力していただきます。
● その他の団体の資格継続ポイントについては、所属する団体にご確認ください。

【イベント実行委員会】
担当理事  遠藤正之(静岡大学)
実行委員長 堀江 正之 (日本大学)
委員 荒木 哲郎(赤坂山王総合法律事務所) 浦上 豊蔵 (たつの市デジタル戦略監)
神橋 基博 (且O井住友銀行) 栗山 孝祐 (梶@スターシステム)
黒澤 兵夫 (TAKE国際技術士研究所) 鈴木 夏彦 (日本電気梶j
成田 和弘 (有限責任監査法人トーマツ) 舩津 宏 (個人情報保護専門監査人)
牧野 博文 (鞄月ナ) 吉田 洋(名古屋文理大学)
三谷 慶一郎(劾TTデータ経営研究所) 中村 元彦(千葉商科大学)
内藤 裕之(ブリーズ・コンサルティングオフィス)  
【主催】
システム監査学会〒100-0003東京都千代田区一ツ橋1-1-1竃日学術フォーラム内
問合せフォーム https://www.sysaudit.gr.jp/toiawase/index.html
(個人情報の取扱いについて)
申込時にご記入いただいた個人情報は、本会の運営管理目的外では利用しません。参加者リスト(氏名および所属)を講演者および大会関係者が閲覧することがあります。ただし、入手した情報を本大会の運営管理以外に利用することを禁止しています。個人情報の削除・訂正等を希望される場合は、学会事務局にご連絡ください。
当学会の個人情報保護方針はこちら→ https://www.sysaudit.gr.jp/privacypolicy/index.html

▲このページのトップに戻る