講演要旨一覧
 <基調講演>「規格としてのリスクマネジメントと実践ツールの意義−JRMS2010と監査の視点−」 "Risk management standard and the practical value of JRMS2010-From the viewpoint of an audit-" |
| 明治大学 商学部 教授・システム監査学会 会長 森宮 康氏 |
| 2009年にISOは『ISO31000:リスクマネジメント−原則及び指針』を公表、日本規格協会はJIS Q 31000としてリスクマネジメント規格を公刊した。規格では、枠組みとリスクマネジメントプロセスを示しているが、導入・組織化・実践についてはそれぞれの組織に依るとされている。こうした事態を想定し、JIPDECは2010年に実践的ツールとして『JRMS2010』を世に問うた。 ところで、本年3月11日午後、未曽有の大震災が東日本を襲い、大規模な津波が被害を拡大させた。さらに福島原発1号機の破損により放射性物質の放出が大きな問題を提起し、サプライチェーンに多大な影響をもたらした。そうした事態に備えリスクマネジメントをいかに実践すべきか、こうした点に焦点を当てたいと考えている。 |
報告(専門監査人部会活動報告/研究プロジェクト成果報告)
| <個人情報保護専門監査人部会活動報告> 「セキュリティ基準や契約書から見える個人情報保護対策およびシステム監査における課題」 " Issues of personal information security and system audit seen by information security standards" |
| 富士通(株) 桃澤正和氏 |
| 個人情報保護に対する "いわゆる過剰反応" も落ち着きをみせ、適切な理解が浸透してきたと思われるが、個人情報保護対策をどこまで行えば十分なのかという疑問や不安は拭いきれない。 各団体からの個人情報保護に関連する基準や契約書等について分析し、個人情報保護において現在抱える問題点は何かを考察し述べる。 |
| <会計システム専門監査人部会活動報告> 「会計システム専門監査人のためのIT内部統制監査実施ガイド」および 「SAP ERP IT業務処理統制監査評価手続例」 "The results of research documents developed in 2010" |
| NTTソフトウェア(株) 矢島利夫 氏/情報システム監査(株) 迫田 修氏 |
| 2010年度部会研究活動の報告として、それぞれのグループからの発表を行う。 Aグループでは、企業経営者または公認会計士からの依頼に基づき、会計システム専門監査人が企業のIT内部統制の監査を行う場合の実施手順、評価活動上の具体的な指針等について検討し、「IT内部統制監査実施ガイド」を策定した。本発表は、策定を完了した本実施ガイドの要旨、適用範囲および活用法について報告を行う。 Bグループでは、前年度に作成したチェックリストの精査を実システム上で行い、加筆・修正を行った。また、各手続きに対する実システムにおける表示内容をサンプルとして例示できるように収集した結果を報告する。 |
| <情報セキュリティ専門監査人部会&情報セキュリティ研究プロジェクト合同成果報告> 「自組織に最適な情報セキュリティ対策-中小組織を対象とした情報保護内部統制-」 "The approach to the appropriate information security -The internal control of the information protection for the small and medium-sized organization-" |
| インターギデオン 川辺良和氏 |
| 情報セキュリティ対策は組織全体のリスクマネジメントの1つであり、他のマネジメントシステムとの関連を考慮する中で企業経営全体としての取組みが必要という昨年の結果を踏まえ、今年は中小組織に対象として検討を行った。 具体的には、中小組織における情報セキュリティ管理の現状や問題点を把握するとともに、情報セキュリティに限定せずに企業経営全体を対象とするリスクベースによる情報保護内部統制のフレームを整理する中でリスクマネジメントとしての情報セキュリティ対策のあり方を検討した。 今回の発表は、昨年の成果を踏まえ、中小組織にとって実効性のある情報セキュリティマネジメントへの取組みについての検討内容を発表する。 |
| <リスクマネジメント研究プロジェクト成果報告> 「システム監査と事業継続マネジメント(BCMS:Business Continuity Management System) −JRMS2010の小売業への適用(仮説事例)−」 " Considerations of systems audits and business continuity management system-Application to retail trade of JRMS2010 ,(Hypothesis case)-" |
| 足立憲昭氏 |
|
リスクマネジメント研究プロジェクト(RM研究P)では、サプライチェーンマネジメントシステム(SCMS)における事業継続マネジメント(BCMS)とシステム監査(SA)のモデル化から実際の事業へ適用した場合のチェックリストやガイドラインの研究を行ってきた。 今年度JIPDECの新たなリスク評価ツール(JRMS2010)の経営、内部統制および事業継続に関するパートを小売SCMSの仮説事例に適用してみた。その結果、企業におけるRMの成熟度によって目標レベルが分かれてくること、およびその目標レベルによって解決すべき課題が異なることが把握できた。 今回、仮説事例とした一般的な中小小売業においては、従業員個人のリスクマネジメント能力が会社全体のリスクマネジメントになるというRM成熟度に該当する。このレベルの組織では、「業務部門に対するリスクマネジメント教育の徹底と部門ごとのマネジメントサイクル(PDCA)」の取組み目標で会社全体のRMを確立するのが最適との結論が得られた。 |
| <情報セキュリティ対策の診断研究プロジェクト成果報告> 「情報セキュリティ監査の活用による、企業の情報セキュリティ対策の診断」 "Evaluation about corporate information security measures by the use of information security audit" |
| (株)デンカク 尾崎孝章氏 |
|
研究プロジェクトのテーマに沿って、企業の情報セキュリティ対策を診断し、その企業に適した対策を実現させ、内容を向上させることを検討した。情報セキュリティ対策の診断を、特に小規模企業に浸透させる方法の1つとして格付けの基準を検討・策定し、これまで実証実験を進めてきた。今回は2009年度に引き続き推進中のフォロー診断について、考え方を紹介し、課題、今後の進め方を報告する。(昨年の研究大会の報告の続き) 昨年、実証実験の対象とした企業は、社内における情報資産の取扱いも少なく、情報取扱いの規程整備も始めたばかりという企業であり、これから本格的に情報セキュリティ対策を進めていくという企業である。また、現状のセキュリティ対策の診断結果を踏まえて、さらによい状態に進めたいと考えることは企業として当然であり、その筋道をつけることが診断にも必要である。そのような要望にフォロー診断により応えることができるよう検討を進めている。今回まだ途中であるが、それぞれの企業に適した対策を考え、それを評価するためのランク付けの方法を紹介する。 また、学会として、適用範囲を広げる展開方法の検討を進め、今後広く展開することにしたいと考えており、その内容を紹介するものである。 |
| <内部統制研究プロジェクト成果報告> 「企業の統制は誰のためか」 "What is the purpose of corporate governance" |
| 公認会計士 三浦泰史氏/多和田 肇氏 |
|
内部統制研究プロジェクトでは、前年度までは、日本独の内部統制について研究してきた。 時には歴史を遡り日本独自の内部統制を調査し、日本企業が独自に生き残るために、日本の優位性を発揮するためにどのような内部統制を残していけばいいのかを論じてきた。 本年度は、その日本独自の内部統制は、誰のために実施されているのか、さらに視点を広げて、会社は誰のものなのか、誰のために会社を統治するのか、会社は誰のものなのかということを論じた内容を報告する。 |
| <システム監査用語研究プロジェクト成果報告> 「システム監査用語研究プロジェクト中間報告」 "Interim report of system audit term study project" |
| 城西国際大学 本田 実氏/みずほ情報総研(株) 大島 誠氏/ エス・アイ・エス(株) 高木 実氏/(株)あいおい保険システムズ 中村晴夫氏/ 日本銀行 細野浩一郎氏/東京地方裁判所 芳仲 宏氏 他 |
| 「システム監査用語の定義と解説」(2005年度版)を踏まえ、情報セキュリティ管理基準の改正、IT統制やITの国際規格の対応、システム監査技術者試験シラバスの対応、新技術の対応等を考慮して、5年ぶりに改定した。現行の用語集を、よりわかりやすく、使いやすくしている。まだ、改善する余地はあるので継続プロジェクトとする。
|
| <クラウドコンピューティングのシステム監査研究プロジェクト成果報告> 「クラウドコンピューティングのシステム監査(中間報告)」 "System auditing of cloud computing (interim report)" |
| パナソニック溶接システム(株) 深瀬 仁氏/大阪成蹊大学 松田貴典氏 |
| 本研究プロジェクトは、当初、クラウドコンピューティングサービス(以下、「クラウド」という。)を提供する会社に対し、どのようにシステム監査を実施できるのかを見極めることを目的にスタートした。そこで、まず研究対象となるクラウドとはどういったものかを理解するため、クラウドサービス提供会社の取組み状況や考え方を調査した。調査の段階では、サービス提供会社のシステム監査を実施することは非常に難しい側面があると認識したが、サービスを利用するユーザ側の視点にたって、企画(契約前)・定期棚卸(契約中)・見極め(契約終了/更新)といったそれぞれのフェーズに合わせたチェックポイントや監査手続を確立することも、システム監査の側面から重要であることがわかってきた。 今回の発表は、@研究の経緯、A中間成果物(チェックシート・監査手続など)、B研究会としての今後の方向についての中間報告である。 |
| <コンプライアンスのシステム監査研究プロジェクト成果報告> 「コンプライアンスのシステム監査について(中間報告)」 "System auditing of information system compliance (interim report)" |
| (株)ニイタカ 雜賀 努氏/大阪府 吉田博一氏/大阪成蹊大学 松田貴典氏 |
| 本研究プロジェクトは、新たにNPO法人日本システム監査人協会との共同で開始したものである。 ICT(情報通信技術)の進歩により、情報システムと密接に関連する法的問題が、コンプライアンス視点で点検・評価することが、大きな課題となっている。本研究プロジェクトでは一般企業を対象とした情報システムを対象に、コンプライアンスのシステム監査基準の策定を目標として研究を行っている。 今回の発表では、@研究の経緯、A研究の中間成果物(部門、業務別コンプライアンスMAP)、B今後の対応について中間報告する。 |
▲このページのトップに戻る