高原　康彦（システム監査学会　会長／千葉工業大学　工業経営学科　教授）

＜発表要旨＞

　情報システムはシステムであるから、それの設計、実装に対して、システムズアプローチが試みられるのは当然である。しかし、形式理論に基づいたシステムズアプローチはあまり行われていないようである。講演者のグループでは形式理論に基づいて、問題解決型の情報システムの設計と実装を行っている。問題解決型のシステムは、従来システム監査の対象とはなっていなかったようであるが、情報技術、情報システムの発展に伴い、これからは重要な対象となる分野と考えられる。このような視点で、形式的システム設計とシステム監査の関係を考察したい。

＜発表１＞

「外部システム監査における現場ニーズとそれに応える方法」

打矢　隆司（三井情報開発（株））

＜発表要旨＞

（準備中）

＜発表２＞

「松下電器の情報セキュリティ管理の考え方と規程」

安尾　勝彦（松下通信工業(株)　情報通信システムセンター所長）

＜発表要旨＞

　各社の情報セキュリティ管理は、それぞれの企業経営のポリシィを反映し、企業活動と表裏一体でなければならない。松下電器産業グループの経営ポリシィを原点に、情報セキュリティ管理を強化するに至った経緯、情報セキュリティ規程策定の検討ポイント、規程の骨子、定着に向けた運用方法の検討など、本プロジェクトを推進した立場から、具体的な事例を紹介する。情報セキュリティは、機密情報の保護だけが強調されがちであるが、企業活動において、情報は、重要な経営資源であるという大前提に立ち、いかに情報を活用するかにポイントを置き、その情報活用に最低限必要な保護の方法を取り決め、グループ全社に徹底した。また、電子化情報だけに着目されがちであるが、非電子化情報も含め、すべての情報を対象として、規定している。情報セキュリティの徹底は、その推進の難しい側面があり、ひとつの事例ではあるが、取り組んだプロセスの苦心談が、参考になるものと思われる。

＜発表３＞

「ＣＳＡによるシステム監査の実践−ＩＳＭＳ適合性認定に備えたシステム監査他−」

芳仲　宏（(株)ＣＲＣソリューションズ　システム監査等担当）

＜発表要旨＞

　�海RCソリューションズでは、システム監査の重要性に鑑みて、「業務監査担当」とは別に、「システム監査担当」という組織が社長直属で設置されている。
　システム監査の対象に応じて監査チェックリストを作成し、監査部門、被監査部門という組織構造で実施してきた。
　基本的には、監査部門と被監査部門は対立する構造ではないはずだが、やはりヒアリング段階、監査報告作成段階となってくると、所詮、人間である限り、いろいろと対立的色彩が滲み出てくるものである。
　あまり堅苦しいことは言わずにと、お座なりのシステム監査を実施するのでは、システム監査人としては失格である。だからと言って、厳しい指摘の連続、重箱の隅をつつくような対応は、被監査部門としてはやりきれない筈である。
　システム監査を実施して、本当に被監査部門に喜ばれるシステム監査にするにはどうすべきかを模索してきた。
　伝統的な監査手法からすれば、問題含みかもしれないが、最近では、ＣＳＡ（Control Self-Assessment）手法の真似事に挑戦している。実践例として、「ＩＳＭＳ適合性認定に備えたシステム監査」を中心にその他事例を紹介する。

＜発表４＞

「情報セキュリティマネジメントシステム（ＩＳＭＳ）における
経営者の役割と責任について
　　　　　　　−システム監査実践・技法研究プロジェクト　成果報告−」

木村　裕一(システム監査技法・実践研究プロジェクト主査/日立情報システムズ（株）システム監査室)

＜発表要旨＞

　ＩＳＭＳやＩＳＯ　９０００：２０００等のマネジメントシステムは、経営者の策定した方針の下でＰＤＣＡサイクルに従う管理をする。その「Ｃ」のプロセスとして行うシステム監査（内部監査）では、マネジメントシステムが計画どおりにできているか､有効に機能しているか等を監査する。従来の様々な管理手法の導入に比して経営者の役割と責任が重要になることについて､また経営者がシステム監査の監査対象になることについては、まだ経営者に十分に認識してもらえていない状態であることが考えられる。
　今回のプロジェクトではISMSを例に取り上げて、マネジメントシステムを企業に導入することに関して経営者が重要な役割を持つこと､その実行の責任を持つことについて解説する成果物をまとめることこととした。これにより上記の点を経営者に少しでも理解してもらい、またマネジメントシステムを監査するシステム監査人の意思統一も図ることを狙いとしている。
　できれば学会としてアピールすることにより､システム監査人のシステム監査の支援をすることともしたい。