「システム監査学会第19回公開シンポジウム」に行ってきた

10月7日（土）にあった「システム監査学会第19回公開シンポジウム」に行ってきた。

計画通り？寝過ごして午後から参加した。
最近、自覚しているよりも体調がよくないらしく、集中して聞けたとはいえない状態だった。

内部統制とJ-SOXの話に終始。目新しい話はなかったけど、人によって注目点が違うところは面白い。


以下簡単なメモ。
-----------------------------------------------------
「ITガバナンス新潮流における情報セキュリティ統制のあり方
−混迷を極める企業統治の一手法−
　　　　　　松下電器産業（株）　　黒川　信弘

●課題
　様々な監査の連続で現場は疲弊している
　監査の独立性をどう保つか
　社内の縦割りをどうするか

●倫理の問題が大きい
　倫理のないところに統制活動を行っても意味がない

●三権分立
　相互に牽制するために企業でも三権分立が重要
　◆司法：監査部門
　◆立法：情報セキュリティ委員会
　◆行政：情報セキュリティ部門（CSO）

　情報セキュリティ委員会を横の統制に
　　各職場から意見代表を集めて定期的に協議
　　ルールや規範を議論する

　現場責任者が現状では業務能力の高い人材がつくが、統制能力の高い人材にすべき

●情報セキュリティの内部統制の力を基礎を固めて他へ展開

Q:コストとのかねあいでの限界点は？
A:（あえて松下では）二律背反をする方針にしている
　セキュリティしながらIT投資を減らす。うまくいくかはわからない。
-----------------------------------------------------
私の感想
●三権分立は言われてみればなるほどなあという感じ。
●業務能力よりも統制能力重視という話は一部同意するけど、業務がわからないと困ることも確か。
●セキュリティに投資しながらIT投資をどう減らそうとしているのだろう？

-----------------------------------------------------
「コンプライアンス・内部統制・システム監査のフレームワーク」
　　　　　　（株）富士通総研　　国島　義明

●医療関係をやっているので、安全安心にどうするかの観点で

●安全安心を誰が保証するのか？
　権威やブランドで信頼される時代ではない
　→客観的なもので測る

●システム監査の定義と取り巻く環境の変化
　システムだけを論じるのはダメ。コンプライアンス、ガバナンスをもとに
　最終利用者の世の中の人々への情報セキュリティに関する貢献の視点が必要

●安心は心理的なもの
　社会と会社と監査人で認識が一致する必要がある。
　→説明の必要

　合理的に、ある程度許される範囲はどこか
　合理的な努力をしているかを説明できるのが大事

●システム監査の新たなパラダイム
　情報セキュリティをプロフェッショナルサービスとして確立するにはどうするか
　◆システム的監査アプローチ
　　チェックリストからの脱却
　　エンタープライズアーキテクチャの仕組みを取り入れる
　　→ライフサイクルや流れを体系的に把握
　
　　監査の各フェーズでもWBS（Work Breakdown Structure）を導入して明確に定義。
　　→誰でも出来るように

　　技術的なチェックはカプセル化。結果だけをもらって

　　医療ではカルテに情報を書いている
　　→どう情報収集してアクションしたか
　　　教育目的、分析にも使うことも
　　　システム監査でもカルテの標準化などを

●コンプライアンス
　人間系が一番大事
　→客観的に評価が難しい
　　ベンチマークがあるのか？
　　末端までどれくらい理解しているかの指標
　　なんとなく言っているのか明確にいっているのかの指標を作れば

●日本型内部統制
　ガチガチでは活力がそがれる


Q:内部統制だけでなくてコンプライアンス
　複雑でパッケージを使わないと対応できない
　個々の監査人は何を監査するか？
　→この製品なら安全だとか？

A:パッケージの話では、プログラムにまかせるしかない
　その企業にとって必要なセキュリティ格付けを
-----------------------------------------------------
感想
●安全安心という話でリスクコミュニケーションの話も少し出ていた。
●システム的監査というものがいまいちイメージできなかった。
　確かにうまく確立できればすばらしいなあ。
　で、そのシステムを構築するコストはどこから湧いてくるのかなあ？
●コンプライアンスの度合いを末端の理解度合いでベンチマークするという話は悪くないかも。
　一方で経営者のコンプライアンスが一番大事なわけだけど、そのあたりは法律の罰則で牽制する以外ないのかなあ。

-----------------------------------------------------
「内部統制に必要となるIT統制の確立」
　　　　　　大阪市立大学大学院　　城　順平

●J-SOXへ利用可能なフレームワーク
　J-SOXはCOSOを意識して進められている
　↓
　COBITと対応づけられる
　↓
　COBITが定めた管理目標を現場の運用に落とし込むときにITILを使う

　進め方
　（下から）管理目標→COBITの成熟度の改善→COSO準拠によるJ-SOX対応

●ISO/IEC 20000と27001(ISMS)
　ISO/IEC 20000 これだけでは弱い部分も
　ISMS も参照。取る取らないは別にしても

●内部統制とリスクマネジメント
　コントロールシステムの構築が議論されるがあくまで手段
　維持するだけではダメ。

●IT部門の役割
　フローチャート書くなど慣れていない部門があるので支援していく
　全社的な業務支援をした方が効率が高まる

●IT統制の限界
　適切な運用が実施されない場合、機能しない
　　ID,パスワードの貸し借り
　抜け道が存在

●最低限しないといけないところを見極めて行う
　継続することなので


Q:CMMIとCOBITとの整理したものは？
A:私の知っている限りではない
-----------------------------------------------------
感想
　ITILのデリバリとサポートを使うという話は面白いのだけど、ITILの細かいところがわかってないのでどう使えばいいのかなあ。

-----------------------------------------------------
「「内部統制監査」時代のシステム監査人」
　　　　　　みすず監査法人　　片岡　　学

J-SOXはシステム監査にどのような影響を与えるだろうかという話
●ITへの対応をどのように考えるか
　COSOには入っていた
　◆留意すべきポイント
　　弱い人間が扱うものということを考えておく
　　ネットワーク対応
　　外部委託対応

●IT統制
　◆コントロールオーナーが必要
　　IT全社的統制
　　　CIOをきちんと決めるところからスタートしないと
　　IT全般統制
　　　IT部門長とか、EUC領域の人たちが考え方をきちんと出して徹底を
　　業務処理統制
　　　情報処理ではプロセスオーナーという考え方があるので応用していければ

●IT統制監査
　効率をあげるためにもシステム監査人がシステムだけでなくマニュアル部分も見るようになるのかなと
　→コントロールシステム専門監査人へ

●おわりに
　システム監査人は、内部統制監査の主役となるべき
　財務報告の信頼性だけでなく
　業務の有効性、効率性、
　→システム監査の役割とリンクする部分がある

Q:システム監査人が業務監査もというお話でしたが、システム監査は元は業務監査のひとつでしかない。業務監査を統括するのは監査役会
A:内部統制の観点から・・・
Q:内部統制は代表取締役社長が責任
-----------------------------------------------------
感想
　コントロールオーナーという言い方ははじめて聞いたような気もするけど、それって誰の権限ですか？って話のような気がする。