2006年10月08日

「システム監査学会第19回公開シンポジウム」に行ってきた

10月7日(土)にあった「システム監査学会第19回公開シンポジウム」に行ってきた。

計画通り?寝過ごして午後から参加した。
最近、自覚しているよりも体調がよくないらしく、集中して聞けたとはいえない状態だった。

内部統制とJ-SOXの話に終始。目新しい話はなかったけど、人によって注目点が違うところは面白い。


以下簡単なメモ。
-----------------------------------------------------
「ITガバナンス新潮流における情報セキュリティ統制のあり方
−混迷を極める企業統治の一手法−
      松下電器産業(株)  黒川 信弘

●課題
 様々な監査の連続で現場は疲弊している
 監査の独立性をどう保つか
 社内の縦割りをどうするか

●倫理の問題が大きい
 倫理のないところに統制活動を行っても意味がない

●三権分立
 相互に牽制するために企業でも三権分立が重要
 ◆司法:監査部門
 ◆立法:情報セキュリティ委員会
 ◆行政:情報セキュリティ部門(CSO)

 情報セキュリティ委員会を横の統制に
  各職場から意見代表を集めて定期的に協議
  ルールや規範を議論する

 現場責任者が現状では業務能力の高い人材がつくが、統制能力の高い人材にすべき

●情報セキュリティの内部統制の力を基礎を固めて他へ展開

Q:コストとのかねあいでの限界点は?
A:(あえて松下では)二律背反をする方針にしている
 セキュリティしながらIT投資を減らす。うまくいくかはわからない。
-----------------------------------------------------
私の感想
●三権分立は言われてみればなるほどなあという感じ。
●業務能力よりも統制能力重視という話は一部同意するけど、業務がわからないと困ることも確か。
●セキュリティに投資しながらIT投資をどう減らそうとしているのだろう?

-----------------------------------------------------
「コンプライアンス・内部統制・システム監査のフレームワーク」
      (株)富士通総研  国島 義明

●医療関係をやっているので、安全安心にどうするかの観点で

●安全安心を誰が保証するのか?
 権威やブランドで信頼される時代ではない
 →客観的なもので測る

●システム監査の定義と取り巻く環境の変化
 システムだけを論じるのはダメ。コンプライアンス、ガバナンスをもとに
 最終利用者の世の中の人々への情報セキュリティに関する貢献の視点が必要

●安心は心理的なもの
 社会と会社と監査人で認識が一致する必要がある。
 →説明の必要

 合理的に、ある程度許される範囲はどこか
 合理的な努力をしているかを説明できるのが大事

●システム監査の新たなパラダイム
 情報セキュリティをプロフェッショナルサービスとして確立するにはどうするか
 ◆システム的監査アプローチ
  チェックリストからの脱却
  エンタープライズアーキテクチャの仕組みを取り入れる
  →ライフサイクルや流れを体系的に把握
 
  監査の各フェーズでもWBS(Work Breakdown Structure)を導入して明確に定義。
  →誰でも出来るように

  技術的なチェックはカプセル化。結果だけをもらって

  医療ではカルテに情報を書いている
  →どう情報収集してアクションしたか
   教育目的、分析にも使うことも
   システム監査でもカルテの標準化などを

●コンプライアンス
 人間系が一番大事
 →客観的に評価が難しい
  ベンチマークがあるのか?
  末端までどれくらい理解しているかの指標
  なんとなく言っているのか明確にいっているのかの指標を作れば

●日本型内部統制
 ガチガチでは活力がそがれる


Q:内部統制だけでなくてコンプライアンス
 複雑でパッケージを使わないと対応できない
 個々の監査人は何を監査するか?
 →この製品なら安全だとか?

A:パッケージの話では、プログラムにまかせるしかない
 その企業にとって必要なセキュリティ格付けを
-----------------------------------------------------
感想
●安全安心という話でリスクコミュニケーションの話も少し出ていた。
●システム的監査というものがいまいちイメージできなかった。
 確かにうまく確立できればすばらしいなあ。
 で、そのシステムを構築するコストはどこから湧いてくるのかなあ?
●コンプライアンスの度合いを末端の理解度合いでベンチマークするという話は悪くないかも。
 一方で経営者のコンプライアンスが一番大事なわけだけど、そのあたりは法律の罰則で牽制する以外ないのかなあ。

-----------------------------------------------------
「内部統制に必要となるIT統制の確立」
      大阪市立大学大学院  城 順平

●J-SOXへ利用可能なフレームワーク
 J-SOXはCOSOを意識して進められている
 ↓
 COBITと対応づけられる
 ↓
 COBITが定めた管理目標を現場の運用に落とし込むときにITILを使う

 進め方
 (下から)管理目標→COBITの成熟度の改善→COSO準拠によるJ-SOX対応

●ISO/IEC 20000と27001(ISMS)
 ISO/IEC 20000 これだけでは弱い部分も
 ISMS も参照。取る取らないは別にしても

●内部統制とリスクマネジメント
 コントロールシステムの構築が議論されるがあくまで手段
 維持するだけではダメ。

●IT部門の役割
 フローチャート書くなど慣れていない部門があるので支援していく
 全社的な業務支援をした方が効率が高まる

●IT統制の限界
 適切な運用が実施されない場合、機能しない
  ID,パスワードの貸し借り
 抜け道が存在

●最低限しないといけないところを見極めて行う
 継続することなので


Q:CMMIとCOBITとの整理したものは?
A:私の知っている限りではない
-----------------------------------------------------
感想
 ITILのデリバリとサポートを使うという話は面白いのだけど、ITILの細かいところがわかってないのでどう使えばいいのかなあ。

-----------------------------------------------------
「「内部統制監査」時代のシステム監査人」
      みすず監査法人  片岡  学

J-SOXはシステム監査にどのような影響を与えるだろうかという話
●ITへの対応をどのように考えるか
 COSOには入っていた
 ◆留意すべきポイント
  弱い人間が扱うものということを考えておく
  ネットワーク対応
  外部委託対応

●IT統制
 ◆コントロールオーナーが必要
  IT全社的統制
   CIOをきちんと決めるところからスタートしないと
  IT全般統制
   IT部門長とか、EUC領域の人たちが考え方をきちんと出して徹底を
  業務処理統制
   情報処理ではプロセスオーナーという考え方があるので応用していければ

●IT統制監査
 効率をあげるためにもシステム監査人がシステムだけでなくマニュアル部分も見るようになるのかなと
 →コントロールシステム専門監査人へ

●おわりに
 システム監査人は、内部統制監査の主役となるべき
 財務報告の信頼性だけでなく
 業務の有効性、効率性、
 →システム監査の役割とリンクする部分がある

Q:システム監査人が業務監査もというお話でしたが、システム監査は元は業務監査のひとつでしかない。業務監査を統括するのは監査役会
A:内部統制の観点から・・・
Q:内部統制は代表取締役社長が責任
-----------------------------------------------------
感想
 コントロールオーナーという言い方ははじめて聞いたような気もするけど、それって誰の権限ですか?って話のような気がする。
 




posted by 端っこなひと at 02:48| Comment(0) | TrackBack(3) | セミナー・勉強会 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

この記事へのトラックバックURL
http://blog.seesaa.jp/tb/25065191

この記事へのトラックバック

ITIL関連ウェブログ/2006-10-08
Excerpt: 「システム監査学会第19回公開シンポジウム」に行ってきた | 端っこなひとの備忘録  10月7日開催の「システム監査学会第19回公開シンポジウム」の講演内容のメモ。「内部統制に必要となるIT..
Weblog: ITIL BE ALL RIGHT!
Tracked: 2006-10-08 21:50

1.内部統制報告書に関する QandA(前半)
Excerpt: Q1 内部統制報告書とはどのようなものですか? 金融商品取引法24条の4の4は、「当該会社の属する企業集団及び当該会社に係る財務計算に関する書類その他の情報の適正性を確保するために必要なものとし..
Weblog: 内部統制報告書の基礎が誰でも分かる。
Tracked: 2006-10-09 22:32

JIPDECが「JIS Q 20000案に対するパブリックコメントの結果」を発表
Excerpt: 昨年の10月、JIPDECが実施した「JIS Q 20000案に対するパブリックコメント募集」の結果が発表されています。 斜め読みしましたが、みなさんなかなか鋭い視点をお持ちだなと思いました。(一部..
Weblog: endoのコンサル日誌
Tracked: 2007-01-10 19:17