SAAJK

ようこそ!NPO日本システム監査人協会近畿支部サイトへ

本サイトは近畿支部からの情報発信、活動報告、会員間の情報共有を目的として、ITサービスグループによって運営されています。(2009年~)
※協会本部サイトについては、こちらをご参照下さい。

近畿支部30周年記念シンポジウム 報告(浜田 恒彰)

Clip to Evernote

会員番号:2056  浜田 恒彰(近畿支部)

1.テーマ  近畿支部30周年記念シンポジウム
       ―システム監査@ニューフロンティアー
2.開催日時  2018年6月30日(金) 13:00~17:00
3.開催場所  エル・おおさか(大阪府立労働センター) 6F 大会議室
4.参加者数  93名
5、シンポジウム概要

 1、開会挨拶 日本人システム監査人協会 近畿支部 支部長 荒町 弘氏
2、来賓挨拶 近畿経済産業局 地域経済部 次世代産業・情報政策課長 森下 剛志氏
3、講演1 新システム監査基準/管理基準のポイント
SAAJ副会長 ㈱ビジネスソリューション 代表取締役 松枝 憲司氏
4、講演2 地方自治体のICT監査に求められる役割と課題について
大阪市行政委員会事務局 監査部ICT監査担当課長 片岡 学氏
5、講演3 ブロックチェーン技術とシステム監査
日本情報システムコンサルタント協会 副理事長 永田 淳次氏
6、パネルディスカッション 「次世代を担うシステム監査のあり方について」
モデレーター: 荒町氏
パネラー : 松枝氏、片岡氏、永田氏、吉田博一氏
7、閉会挨拶 日本人システム監査人協会 近畿支部 副支部長  荒牧 裕一氏

<講演内容>

講演1 新システム監査基準/管理基準のポイント 松枝氏 

システム監査関連4団体が中心となって、平成30年4月に11年ぶりに改訂された新システム監査基準/管理基準の改訂のポイントと今後の継続的な改善についてのとりくみ方針等についての報告。

<講演目次>

1、新システム監査基準/管理基準の公開と目的
2、システム監査基準の改訂のポイント
3、システム管理基準の改訂のポイント
4、システム管理基準枠組みのポイント
5、フェーズ別管理基準改訂のポイント
6、ISO38500関連基準の動向

<講演のポイント>

・従来の監査基準では不明確であった誰が、何を、どのようにを明確にした。
・システム管理基準ではITガバナンスに関する記述が強化され、EDMモデルを提唱
・従来は全体最適化の記述があったが、全体とは何か、最適化には正解がなく、環境の変化に追随
しきれない。なのでこれを使わず、ITガバナンスと記述し、経営者がEDMを回して、環境変化に対応していくことを明記した。
・EDMでのITガバナンスモデルは経営者がD)戦略と方針を示し、E)管理者が提案と計画を
フィードバックして経営者の評価を得、M)パフォーマンスと適合度をモニタリングする。
・アジャイル開発の章を新設。ここでの人材の役割はプロダクトオーナであり、多能工となる。
・事業継続管理については事業の継続はITガバナンスにより考慮され、個々の業務の継続はマネジメントの役割となる。
・情報セキュリティ監査基準と併用を可能にするために参照関係を作成。
・さらに日本発のISO基準としてITガバナンスのアセスメントの基準化にとりくみ中。

講演2 地方自治体のICT監査に求められる役割と課題について  片岡氏

AI,ビッグデータ等の新たなICTの進展に伴い、地方自治体においては、それらの徹底活用による一層の市民サービスの向上や行政事務の効率化が求められている。これらはセキュリティを含め、ICTの信頼性や安全性の確保を前提として進められる必要がある。このために、地方自治体におけるICT監査がどのようにな役割を果たすべきかなどについて、大阪市の事例等に基づき報告する。

<講演目次>

1、地方自治体における監査制度
2、地方自治体における監査委員監査およびICT監査の役割
3、大阪市におけるICT監査の実施例
4、地方自治体におけるICT監査の更なる普及に向けて

<講演のポイント>

・地方自治体のICT監査は現状、十分とは言えない状況にある。
・地方自治体の監査委員監査に求められるもの
-常に市民目線に立脚して
-税金が「経済性」「効率性」「有効性」を確保して使われるているか
の観点の基づき監査を行うこと
・地方自治体のICT監査はICTの適正利用を阻害するリスクに対するコントロールを適切に整備、運用するように助言、勧告するもの
・監査報告書にて被監査部門と意見交換を行う。特に問題の発生原因について本質的な原因を追究、対策提言するものでなければならない。
・大阪市のICT監査のスタンス
―ITガバナンス上の課題に踏み込み、抵抗はあるが再発防止策を提言
―監査委員監査におけるICT監査はシステム監査という手法を活用して、ICTに関わる経営上の課題発見とその改善活動を行うこと
・ここ数年は組織的にICTを管理するしくみ、基本的なリスク管理にとりくんできた。
・新システム管理基準はITガバナンスを定着するEDMモデルや実施すべき主体の明確化がな
されていて、地方自治体で今後活用していくべきものと考える。

講演3、 ブロックチェーン技術とシステム監査 永田氏

Bitcoinシステムを代表とする暗号通貨が社会に浸透し始めており、それを視野に入れたシステム監査が求められる。特にブロックチェーン技術は改ざんが困難であるという特徴をもつため、監査証跡の収集に有効であると予想される。本講演では暗号通貨とそれを実現した技術を概観し、それらの考え方や技術に対応することでより実行性のある監査が実現できることについて論じる。

<講演目次>

1、ブロックチェーン技術
2、ブロックチェーンの特徴
3、ブロックチェーン展開の方向
4、情報の記録とシステム監査
5、通貨、価値交換とシステム監査
6、正しい情報の記録とシステム監査

<講演のポイント>

・ビットコインに代表される暗号通貨(仮想通貨)関連案件についてどう監査していくか
・ブロックチェーンの特徴は5つ
①全ての正しい取引を記録し、消さず、全員で共有する「台帳」を持つ
②鍵で個人情報をコントロールするWalletを個人が保有
③大衆が実力発揮可能な環境の「Github」
④トラストレスでトラストを実現
⑤システムを維持するインセンティブの存在。中心的存在がいないけれども
・監査においてはクラウドサービスの監査と同じ考えでいいのでは
・暗号通貨の活躍場所はプレーヤが多く、支配者がいない場合が適用分野となる
・ブロックチェーンの今後の展開と方向
1)情報の記録システムとしての活用
2)通貨、価値交換のシステムとして活用
3)正しい情報の記録システムとして活用
・上記のそれぞれの観点でシステム監査のあり方を考えていく。

パネルディスカッション  パネラー:松枝氏、片岡氏、永田氏、吉田氏、 司会:荒町氏

1、各講演に対する会場からの質問に対する回答

1)講演1 新システム監査基準/管理基準のポイント 松枝氏への質問

質問① 情報システムの定義・範囲が不明確であり、とくに組み込み系のシス
テムが考慮されていないように思われるが
回答① 今回は組み込み系、それに関連するIOT系のシステムについて十分記述できていない。今後、追補版として追加していくべきと考える。
質問② システム管理基準追補版やJSOX制度との関連についてはどう考えるべきか
回答② それらについては、当然排除はしおらず、それらもあわせて活用いただく姿勢である。

2)講演2 地方自治体のICT監査に求められる役割と課題について 片岡氏への質問

質問③ 本質的な原因に迫るほどマネジメントレベルの責任にかかわってきて、現場の抵抗も強くなってくると思われるが、その対処は?
回答③ ICT監査では本質的追究としてマネジメントレベルの責任を追及すべきと考える。本質的原因の課題提起を行い、組織として、所属長としての見解を求め、抵抗が強くても、改善していくのがICT監査のミッションと考える。
質問④ 監査委員、事務局の役職者、スタッフの異動インターバルはどの程度か?異動の時の監査スキルの継承システムはどのようなものか?
回答④ 異動インターバルは他に比べて長く、スタッフでだいたい7~8年である。理由としては専門性を持っていなければできない仕事であるから。異動時は研修制度があり、ICT監査の勉強会も継続的に行っている。
質問⑤ 大阪市のICT監査は吉村市長のICT活用の意向がかなり反映されているのでは?他の自治体でもトップの意向がICT監査の展開に必要なのでは?
回答⑤ ICTに理解のあるトップが必要だと考える。大阪市ではトップの意向により、ICT戦略策定に元ITコンサルの経歴を持つ方が採用されたりしており、推進度合いにかなり影響がある。

3)講演3 ブロックチェーン技術とシステム監査 永田氏への質問

質問⑥ 管理者が不在のシステムでシステム監査を行った結果を誰に報告するのか?
回答⑥ 利用している企業のトップに報告することになる。
質問⑦ ビットコインを扱う取引所への監査として公認会計士やITスペシャリストの利用が予定されているが格付けの確認の利用等などシステム監査人として取り組むべき分野と思われるか?
回答⑦ 私が格付けの必要性を述べたのは例えばビットコインシステムとしての評価のことであり、取引所については過去に事故もあったため、その観点での評価は必要だと思う。
質問⑧ 仮想通貨以外でブロックチェーンのしくみは何に使われていて、監査は行われているか?
回答⑧ 例えば誰が投票したかわからないが、投票の有効性を示す選挙への利用やプレーヤが多い輸出入フロー等に使われているが実験システムであり、システム監査も行われていない。

4)講演者全員への質問

質問⑨ 新たな技術に対応するために日頃から心がけていることは?
回答⑨ 松枝氏:アンテナをつねにはっていくこと
片岡氏:新しい技術に興味をもつこと
永田氏:発想の違う若い人たちと接して自分の基盤をかえる
吉田氏:システム監査人協会の会合に参加してアンテナをはっていただきたい。

2、吉田氏からのコメント

現在、大阪の大学統合を行っているがITガバナンスをどう構築していくかについて、今日のお話は常に参考になった。ブロックチェーンについては海外では卒業証明に使われている話を聞くので今後の大学での対応も必要になってくると考えている。

3、モデレータ荒町氏からの各講演者への質問

1)松枝氏の講演に関する質問

質問⑩ 現在の監査人は従来の基準をベースとして業務を行っているが、それに今回のような新管理基準をどのようにして取り入れていけばいいのか
回答⑩ テーマ、組織に応じて評価基準を個別に作成していってほしい。
今回、新管理基準がカバーできなかった領域は積極的な改訂を行っていきたい。
管理基準は組織にあった必要なところをとりこんでいってほしい。そのための目的別に使いやすい管理基準作成や活用推進を行っていく。

2)片岡氏の講演に関する質問

質問⑪ お話しのあったICT監査専門者育成等で監査人協会のかかわり方は?
回答⑪ ICT監査専門委員は今後、有識者の任命制度を利用して非常勤の有識者の採用、ICT経験者の外部活用を行っていく必要があり、公認システム監査人の活躍の場所だと思う。

3)永田氏の講演に関する質問

質問⑫ ブロックチェーンを使った仮想通貨については一般人は事件もあって不安に思っている。監査人協会としてどうとりくんでいけばいいのか?
回答⑫ 新しい技術が出てきたら、技術を勉強し、先回りして監査基準を作っていくべし

4)元近畿支部支部長の吉田氏への質問

質問⑬ システム監査人協会としてどのようなな場の提供の強化を行っていけばいいか?
回答⑬ 今後のキーワードとなる技術(AI,IOT、RPA等)についての勉強、議論の場の提供
今後のキーポイントとなってくるマイナンバー制度、カード等のセキュリティ問題への対処
システム監査人のフィールド拡大のために社会人の指導等もっと社会に出て行くべき

<所感>

近畿支部の30周年記念シンポジウムとして、約100名の参加をいただき、非常に盛会であった。
講演テーマについても、新管理基準、ICT監査、ブロックチェーン技術への監査対応と統一テーマの
システム監査@ニューフロンティアにふさわしいものばかりで、今後を見据えたシステム監査のあり方、
今後の進んでいく方向性を考えさせられ、非常に有意義であった。
また、パネルディスカッションについても一方通行の講演で終わることなく、会場から、あるいはモデレータから質問に各パネラーが時間をとって、ていねいに答えてくれたことによって、講演内容等の
理解、各講演者が伝えたかったことがより深まったと思い、いい企画であったと考える。
ここで提言された今後のシステム監査人協会のとりくんでいくべき施策について、今後議論を行い、
企画立案を行って着実にとりくんで行きたい。

   

SAAJ近畿支部第173回定例研究会報告 (報告者:中田 和男)

Clip to Evernote

会員番号 1428 中田 和男(近畿支部)

1.テーマ 「公会計の複式簿記・発生主義会計がスタート。そのシステム監査上の課題は?」
2.講師    ジョイント・ホールディングス(株)IFRSグループ・ディレクター
公認システム監査人、公共政策・IFRSコンサルタント、行政書士 田淵 隆明氏
3.開催日時  2018年5月19日(土) 15:00~17:00
4.開催場所  大阪大学中之島センター 7階 講義室702
5.講演概要  2018年度より地方自治体の複式簿記・発生主義会計がスタートしたことに伴い、そのシステム監査上の課題を具体的な自治体例を取り上げながら分析する。

<講演内容>

公会計の複式簿記・発生主義会計がスタートした。2018年4月1日より記帳開始、最初の開示は2019年3月31日付決算からとなる。公会計への関与は、システム監査人にとっても関心事であり、時宜に即した講演を頂いた。
以下、項目別に説明する。

(1)公会計と企業会計の関係

公会計は、開示上からは、単式簿記形式のCFのみとなっていたが、2019年3月決算より、複式簿記形式で、企業会計同様、BS、PL、SS、CFを開示することとなる。
財務諸表の名称は、公会計としての名称を採用する。CFは、公会計の特性上、直接法の採用が必要である。個別決算に加え、連結決算も行う。外郭団体はフル連結し、一部事務組合を比例連結する。仕訳は、原則毎日仕訳とする(東京都方式)。総務省基準では、当面実施せず。全国レベルでの対応状況調査では、都道府県、指定都市、一般市区町村とも、ほぼ29年度までに実施を予定しているが、一部は30年度以降にずれこむ見込みである。

(2)減価償却に関する留意事項

公会計においては、現金主義が続いたため、減価償却や、減損に対する意識は希薄であるが、今後は採り入れる必要がある。償却方式は、企業会計同様国税方式になるが、従来実施してきた固定資産税評価用の償却計算とは、方式が異なるため、留意する必要がある。

(3)基礎自治体における対応の実情[1]

某基礎自治体での対応の状況としては、2017年度は、2016年度3月期のデータで開始BSのテストを行い順調に検証を行った。本番の開始BSは、2017年度の決算データで作成するので、2018年11月を目途に完成させる予定である。2017年度より、固定資産台帳の入力を開始したが、出納期間完了後の2018年6月から最新データを入力する。
難関と認識されている事項としては、①期首BSの整備、②固定資産台帳の整備、③時価の再評価、④耐用年数、⑤償却方法の確認、が挙げられる。
課題としては、①公会計独自の運用ルールの開発者側への説明、②職員の意識改革、特に「発生主義」と「毎日仕訳」が挙げられる。

(4)某基礎自治体における対応の実情[2]

一般市区町村との会合については、特記事項はなく、省略する。

(5)某自治体のシステム・トラブルとシステム監査(2018年版)

講師がロビー活動の一環として取り組んでおられる、某基礎自治体のシステム・トラブルの発生と、その後の経過・対処について、最近の状況まで含め推移を説明された。

(6)[補足]新会計基準の概要

講師のライフワークである新会計基準の概要について講演された。
トピックスとしては、①工事進行基準は廃止されない(IFRS15、IFRS16参照)、②収益認識に関する会計基準(企業会計基準第29号)、といったものが挙げられた。

6.所感

講師の該博な会計基準に関する知見(特にIFRSを中心とする国際基準の動向に関するもの)と豊富なコンサルタント実績に裏打ちされた講演内容は、大いに示唆に富んだものとなった。
又、講師の協会活動の一環であるロビー活動の一端を垣間見ることができる、某基礎自治体のシステム・トラブルに対する一連のコンサルタント状況も興味深く伺うことができた。受講者各位にとっても参考になるものと考えられる。
以上、第173回定例研究会の田淵隆明氏の講演について報告するが、講演内容詳細については、講演原稿に詳述されているので、近畿支部に問い合わせられたい。

以上

   

SAAJ近畿支部第172回定例研究会報告 (報告者:荒牧 裕一)

Clip to Evernote

会員番号 0655 荒牧 裕一(近畿支部)

1.テーマ  「【JIS Q 15001:2017】~SAAJ個人情報保護監査研究会の考察~」
2.講師    認定NPO日本システム監査人協会 副会長
        個人情報保護監査研究会主査、プライバシーマーク主任審査員
        斎藤 由紀子 氏
3.開催日時  2018年3月16日(金) 18:30〜20:30
4.開催場所  大阪大学中之島センター 2階 講義室201

5.講演概要

講師はSAAJ個人情報保護監査研究会の主査をされていますが、研究会では、2014年12月の「6ヶ月で構築する個人情報保護マネジメントシステムハンドブック」(以下PMSハンドブック)の上梓後、2013年5月31日の番号利用法制定、2015年9月9日の個人情報保護法の改定を研究テーマとし、これら法令等の個人情報保護マネジメントシステム(以下、「PMS」という。)への影響を考察して、PMSハンドブックの読書会員向けに、改定した規定、および様式を提供されてきました。
2017年12月20日、日本規格協会から「個人情報保護マネジメントシステム-要求事項【JIS Q 15001:
2017】」が発表されました。2018年3月1日現在、その審査基準は十分に示されてはいませんが、研究会ではそれに基づいてできる限り客観的に、普遍的に、事業者が構築できるPMSを提案していこうと活動を行っています。
今回は、その成果の一部をご紹介いただきました。なお、講演の際に配布された資料はSAAJ会報4月号の原稿であり、続きについても順次連載される予定です。

<講演内容>

(1) はじめに

【JIS Q 15001:2017】の附属書A(規定)には、旧版(2006年版)の本文に存在していた、「~すること」等の管理策が示されており、2018年8月1日より、プライバシーマーク付与適格性審査においては附属書Aが基準となる。また、附属書(参考)には、附属書Aの管理策に関する補足が記載されている。これは2006年版規格解説に当たるもので、「~することが望ましい」ことが示されている。PMSをより効率的に確実に運用するために、附属書Bは大いに参考になる。
今回は、これらを踏まえた個人情報取扱規定のサンプルを見ながら、プライバシーマーク(以下、「Pマーク」という。)審査において事業者が勘違いしやすいポイントを説明していきたい。

(2) 適用範囲、用語の定義

PMSの適用範囲は、2006年版と変更なく、事業者単位である。
用語の定義については、「個人情報保護法による」とされたことにより、PMSとしての用語が省略された。

(3) 一般要求事項、個人情報保護方針

トップマネジメントへのインタビュー項目として、①個人情報保護目的を説明できること、②内部向け個人情報保護方針を文書化した情報を、組織内に伝達し、必要に応じて、利害関係者が入手可能にするための措置を講じていること、③外部向け個人情報保護方針を文書化した情報について、一般の人が入手可能な措置を講じていること、等が挙げられる。
内部向け個人情報保護方針には、方針の内容についての問い合わせ先掲載については問わない。
外部向け個人情報保護方針については、組織のトップページから、外部向け個人情報保護方針へのリンクがあることが必要である。

(4) 計画

個人情報の特定にあたっては、台帳の件数は、概数でもよいが、できるだけ人数を記したほうが良い。また、要配慮個人情報を取り扱っている部門では、台帳に「本人同意の有無」の項目が必要となる。個人情報保護法では個人情報と個人データを区別しているが、JISでは同様に取り扱うこととなる。
リスクアセスメント及びリスク対策については、特定したリスクに対する対策については、「運用の確認の記録」により、リスクが顕在化していないかを点検する必要がある。
計画策定においては、計画に含まれるべき項目はあまり変わっていない。ただし、PDCAのすべてのフェーズで是正措置に繋げることが必要である。

(5) 実施及び運用

2016年の個人情報保護法改正により、要配慮個人情報の概念が加わり、これを取得、利用又は提供する場合は、あらかじめ書面による本人の同意を得ていることが求められる。この概念は、JIS2006で既に規定されており、その範囲も実質的には同じだと考えられる。この面では、法律がJISに追いついて来たともいえる。
個人情報を取得した場合の措置については、公表文書「個人情報の取り扱いについて」に特定された利用目的が公表されていることが必要である。受託によって取得した個人情報についても、その利用目的を公表する。
共同利用する者から個人情報を取得する場合でも、その共同利用者が共同利用に関する公表の措置を講じていない場合は、本人に連絡又は接触する際に本人同意が必要となる。
新規追加された外国にある第三者への提供の制限は、EUの一般データ保護規則(GDPR)の動向次第の面がある。また、匿名加工情報も法改正で新たに加わったが、実際にこれを利用する事業者は少なく、審査基準も明確にはされていない状況である。
委託先の監督については、「委託先の選定記録」に、委託する個人データの内容が記されている必要があるが、何を委託しているのかを把握していない事業者も未だ多い。

(6) 文書化した情報、苦情及び相談への対応

文書化した情報については、「記録を除く情報」と「記録」とに分けて管理の規定を行う。
苦情と開示は別個に規定する必要があるが、これを一緒に規定してしまう事業者が多い。

(7) パフォーマンス評価、マネジメントレビュー、是正措置

パフォーマンス評価のうち「運用の確認」は、残存リスクが顕在化していないか、リスク対策が実施できているかなど、日常業務において気づいた点があれば、それを是正及び予防していくものであるため、小規模な組織であっても、「運用の確認」を行うことが望ましい。
内部監査においては、「JISとの適合性監査」の後、「運用監査」を実施していることが必要である。
トップマネジメントは、マネジメントレビューを実施するために、少なくとも年一回、適宜にPMSの状況について個人情報保護管理者からの報告を受けてPMSを見直さなければならない。
不適合に対する是正措置に含めなければならない事項とその実施者は次のとおりである。
①不適合の内容を確認する(代表者)
②不適合の原因を特定し、是正措置を立案する(個人情報保護管理者)
③期限を定め、立案された措置を実施する(代表者)
④実施された是正措置の結果を記録する(不適合があった部門の長)
⑤実施された是正措置の有効性をレビューする(個人情報保護管理者、代表者)

(8) 質疑応答

講演の後に質疑応答がなされ、以下の質問を始め、多くの質問・感想が寄せられた。
Q:Tポイント等の共同ポイントにおいて、個人情報の利用に関する規約の改定が頻繁に行われることについてどう思われるか。
A:規約の改定ごとに同意をとっていない点に問題があると感じている。

6.所感

 私のように、プライバシーマークの審査機関や取得企業での勤務経験のない者は、審査実務に関する知識も経験も乏しいですが、そのような者でも良く理解できるように具体例を挙げながらポイントを説明してくださり、非常に参考になりました。また、JISの規定に沿って話を進めていただいたので、体系的の中での位置づけも良くわかりました。
講演でも触れられましたが、GDPRのスタートが5月に控えています。また、今年に入ってFacebookからの個人情報漏洩が明らかになるなど、個人情報保護の要求レベルはますます高まってきていると感じます。企業にとって、JISQ15001の基準を守ることは、必要条件ではあっても決して十分条件ではないことを認識しつつ、PMSの維持・改善のための不断の努力を行う必要性を改めて感じました。

以上

   

SAAJ近畿支部第171回定例研究会報告 (報告者: 藤原 敏宏)

Clip to Evernote

会員番号 2508 藤原 敏宏

1.テーマ 「地方自治体におけるICT監査の現状と課題」
2.講師 大阪市 行政委員会事務局 監査部  ICT監査担当課長 片岡 学 氏
3.開催日時 2018年1月19日(金) 19:00〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要

講師は、企業内内部監査、監査法人による外部監査、会計検査院でのIT分野の会計検査を経験されており、現在は大阪市でICT監査に携われている。それぞれの監査・検査は、異なる役割を持っているが、今回は、地方自治体におけるICT監査の重要性と取り組み事例についてご紹介頂いた。
地方自治体においてもICTの重要性は高まっており、その中でICTが適正に利用されているか、適正利用を阻害するリスクに対するコントロールが適切に整備されているかを助言・勧告するICT監査がますます重要となっているが、ほとんどの自治体において本格的・定期的に実施されていない現状があり、その中で講師が大阪市で実際に取り組まれているICT監査の事例紹介と今後の課題事項についてご紹介頂いた。

<講演内容>

(ア) 地方自治体における監査制度

地方自治体での監査と民間上場企業での監査について、比較して説明頂いた。
そのうえで、地方自治体における監査委員の役割、監査委員監査の流れ等、監査委員監査全体の説明と大阪市での実例を紹介頂いた。その概要は、以下のとおり。
監査委員は、地方自治法によって、人数が定められており、大阪市では、識見を有する者から選任された委員2名(企業経営経験者1名、弁護士1名)、議員のうちから選任された委員2名の計4名で構成されている。識見委員は4年ごとの任期となっている。監査報告書は監査委員4名の連名で作成される。
監査委員監査における事務局スタッフは、監査委員が監査意見を行うための指摘材料等を監査委員に提供する役割を担っており、監査委員の目線にたった監査が必要となる。内部監査等におけるシステム監査では、IT統制上の細かな部分の指摘に留まることもあるが、特に大阪市の監査委員監査では、大阪市のICTに係る経営、戦略などの統制環境上の課題など、より本質的な原因分析や指摘を行う事を目指している。

(イ) 地方自治体におけるICTとICT監査の重要性

地方自治体におけるICTとICT監査の重要性について、その役割やリスクの観点から説明頂いた。その概要は、以下のとおり。
地方自治体においても、住民利便性向上や業務効率化の観点から、ICTを抜きにして語る事は出来ない。加えて昨今では災害に強い基盤作りや情報セキュリティにより配慮したシステム構築も必要となっている。地方自治体におけるICTの重要性が高まる中において、ICTの適正利用を阻害するリスクに対するコントロールが適切に整備されているかを点検・評価するICT監査も重要となってくる。
地方自治体独自の部分として、入札で実施されたシステム化の経費適正化も必要な観点となる。また自治体におけるICT担当職員は、ICTの専門家でなく、事務セクションで、かつ人事ローテーションで異動していく為、情報システムに精通していないケースもあり、ベンダー任せとなってしまう事がある。
また、地方自治体を担当しているICTベンダーにおいても、民間企業を対象としているICTベンダーと比較すると、ICTに係るリスクやコントロールについての認識が必ずしも十分でないように感じられる。
情報セキュリティの領域では、情報セキュリティポリシーについて責任者となる所属長が十分に認識していないケースがあり、個人の資質の問題とせず、組織としてリテラシーを身につけさせていく等、組織としての体制づくりが必要となっている。地方自治体においても、ICT監査が重要であるとの認識を持っているが、平成25~27年度の政令指定都市のホームページで確認した所、ほとんどの団体で本格的・定期的なICT監査は実施されておらず、大阪市を除く19都市の中で単発的に11テーマ程度の実施に留まり、3年間一度も実施していない団体が10都市もあった。
セキュリティ監査の実施については必ずしも多くないものの、総務省からガイドラインも提示されており、ICT監査よりは取り組みが多い状況にある。

(ウ) 大阪市におけるICT監査の取組事例

大阪市におけるICT監査の取組事例について紹介頂いた。その概要は、以下のとおり。
現在の大阪市におけるICT戦略は、ICTの徹底活用とICTの適正利用の二本柱となっているが、そのうちICTの適正利用に着目し、監査に取り組んでいる。
監査委員監査のアプローチとして、どんなリスクを抱えているかに着眼し、リスクを想定し、本質的な問題、経営に係る問題を探っていくことになるが、そのために、大阪市のICT監査では、①本質的な原因を常に探り、個々の問題を掘り下げ、共通的な課題を探る②未然防止に注力することに、特に留意して取り組んでいる。
監査取組みのひとつとして、ICT調達に係る事務の監査を行ったが、ICT調達のガイドラインが有効に機能しておらず、仕組み・手順をICT統括部門が整備しなければならないこと、仕組み、制度がうまくいっているかをモニターする力が弱く、ICT統括部門はモニタリングを十分にする必要があるなどの指摘を行った。
その他の監査事例の指摘も踏まえ、監査委員監査の総括として、ICT管理体制の再構築を行うべしとの監査指摘に至っており、現在、大阪市では、外部人材の活用などによるICT管理体制の見直しの検討が進められている。

 最後に地方自治体におけるICT監査の今後の方向性の検討につながるものとして、平成29年6月の地方自治法の改正により、ICTなどの専門領域については監査専門委員の創設がされること、都道府県及び政令指定都市では内部統制評価報告書の作成が必要となることなどが紹介された。これらを踏まえると、今後は、地方自治体においても、「IT統制」及び「IT統制監査」の実施が必須となり、また、合わせて、マイナンバーの本格展開がされていく中においてはより一層のセキュリティ確保が求められる環境が予想されることから、ICT監査の役割がますます重要となってくるとの講師認識が示された。

6.所感

本講演ではシステムを導入するユーザー側の視点において、経営層がどのような観点でシステム導入を見ているかが紹介されており、システムを販売する側にいる筆者として勉強になった。
普段、ユーザー側の実際の利用者、ICT担当者と会話する中においては、システムの部分的な機能の有無といった個別部分に目がいってしまう事が多いが、システム導入時及び運用においても、適切な情報セキュリティが維持された環境で利用出来ているかはシステム機能だけにとどまらない部分もあり、そういった事も含めて提案していく事の重要性を感じた。

以上

   

研究論文、研究成果、コラム&エッセイ、活動報告等のコーナー

Clip to Evernote

日本システム監査人協会近畿支部では、支部会員を始め各研究プロジェクト等で活発な研究活動を行っています。このコーナーでは、発表者の許諾をいただき研究論文研究成果活動報告などを掲載しています。

New!
「システム開発作業を外部委託 する場合の留意事項について」

コンテンツの一覧表が表示されていない場合は、ここをクリックしてください。

   

発表資料

Clip to Evernote

タイトルをクリックするとドキュメントを閲覧できます。

公開日 区分 タイトル(リンク) 発表者 発表日 更新/備考
2018年1月5日 発表資料 システム開発作業を外部委託 する場合の留意事項について 三橋潤 2017年9月30日 2017年度西日本支部合同研究会にて発表
2017年9月28日 発表資料 仮想通貨とブロックチェーン技術の現状と課題 荒牧裕一 2017年9月15日 SAAJ近畿支部第168回定例研究会にて発表
2017年8月9日 発表資料 中小製造業のグローバル化プロジェクト 坂口幸雄 2017年7月21日 SAAJ近畿支部第167回定例研究会にて発表
2017年5月24日 発表資料 事業継続マネジメント(BCM)の本質とは? ⼩⼭俊⼀ 2017年5月19日 SAAJ近畿支部第166回定例研究会にて発表
2017年4月18日 発表資料 事業継続計画(BCP)の概要とIT-BCPについて 野原英則 2017年3月17日 SAAJ近畿支部第165回定例研究会にて発表
2017年2月3日 発表資料 これまでのシステム監査からこれからのシステム監査を考える 松田貴典 2017年1月20日 SAAJ近畿支部第164回定例研究会にて発表
2016年12月26日 発表資料 個人情報を巡る最新動向と企業に与える影響~改正個人情報保護法の施行に備えて~ 福本洋一 2016年12月17日 SAAJ近畿支部第163回定例研究会にて発表
2016年12月26日 発表資料 スクラムと監査についての一考 近藤博則 2016年11月5日 2016年度西日本支部合同研究会にて発表
2016年11月30日 発表資料 情報科学教育の現状について〜経営者から⾼等学校まで〜 松井亮宏 2016年11月18日 SAAJ近畿支部第161回定例研究会にて発表
2016年11月30日 発表資料 個人番号カードの多目的利用の課題と展望 津田 博 2016年9月16日 SAAJ近畿支部第160回定例研究会にて発表
2016年06月21日 発表資料 事例に学ぶ情報漏えい事故とそのセキュリティ対策~情報セキュリティ監査のポイント 粕淵 卓 2016年5月20日 SAAJ近畿支部第159回定例研究会にて発表
2016年04月25日 発表資料 システム監査の多様性について 林裕正 2016年1月15日 SAAJ近畿支部第157回定例研究会にて発表
2016年04月25日 発表資料 標的型攻撃をはじめとするサイバー攻撃の現状と対策 植垣雅則 2015年11月20日 SAAJ近畿支部第155回定例研究会にて発表
2016年04月25日 発表資料 ツールが無くてもここまでできる SAP ERP内部統制監査 浦上豊蔵
梅谷正樹
下田あずさ
木ノ原真由美
中川昭仁
2015年09月18日 SAAJ近畿支部第154回定例研究会にて発表
2015年07月21日 発表資料 ソフトウェア著作権監査のためのツールと監査手法 荒牧裕一 2015年07月17日 SAAJ近畿支部第153回定例研究会にて発表
2015年05月17日 発表資料 失敗したITプロジェクトの真の原因に迫るマンダラ図の紹介 松井秀雄 2015年05月15日 SAAJ近畿支部第152回定例研究会にて発表
2015年01月28日 発表資料 IT-BCPの実効性を高める訓練・演習とその監査 松井秀雄 2015年01月16日 SAAJ近畿支部第150回定例研究会にて発表
2014年12月05日 発表資料 システム監査の勘所 ~ITストラテジストとシステム監査~ 林裕正 2014年09月20日 JISTAオープンフォーラム2014in関西にて発表
2014年12月05日 発表資料 クラウドソーシングによる災害対策 吉田博一 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年12月02日 発表資料 BCP研究プロジェクト2014年度活動報告(IT部門の初動対応をモデルとした演習の紹介) 金子力造 2014年11月29日 SAAJ 西日本支部合同研究会にて発表
2014年09月20日 発表資料 情報通信技術者が知るべき著作権(基礎編)-「著作権のシステム監査」の実践のために- 松田貴典 2014年09月19日 SAAJ近畿支部第148回定例研究会にて発表
2014年07月19日 発表資料 暗号通貨ビットコインの脆弱性と可能性 荒牧裕一 2014年07月18日 SAAJ近畿支部第147回定例研究会にて発表
2014年04月22日 発表資料 ソフトウェア資産管理とシステム監査 松井秀雄 2014年04月19日 SAAJ近畿支部第41回定例勉強会にて発表
2013年08月22日 発表資料 J-SOXへの取組みと内部監査の考え方 是松徹 2008年11月21日 SAAJ近畿支部第110回定例研究会にて発表
2013年08月12日 発表資料 コンプライアンスのシステム監査について 雜賀努 荒牧裕一 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年08月12日 発表資料 クラウドコンピューティングのシステム監査 深瀬仁 松田貴典 2013年07月06日 SAAJ近畿支部創設25 周年記念研究大会にて発表
2013年04月10日 発表資料 マネジメントシステム規格の統合的な利用と効果的な認証審査 吉谷尚雄 2013年03月15日 SAAJ近畿支部第139回定例研究会にて発表
2012年11月21日 発表資料 BCP研究会報告(ITを中心とするBCP策定支援の実践 荒町弘 2011年11月19日 SAAJ 西日本支部合同研究会にて発表
2012年11月21日 発表資料 近畿支部サイトWG活動報告 金子力造 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年08月25日 発表資料 ASP・SaaSに対する情報セキュリティ監査をふまえたクラウドコンピューティングに対する一考察(プレゼン発表用) 佐々木志津香 古江健一 鬼松嵩 2011年08月20日 SAAJ近畿支部2011年度研究大会にて発表
2012年06月30日 発表資料 「システム監査の法的義務化」等のIT政策提言 田淵隆明 横山雅義 中田和男 神尾博 2012年06月16日 SAAJ近畿支部第32回システム監査勉強会にて発表
2012年05月14日 発表 資料 セミナーWG平成23年度活動報告 三橋潤 2011年11月25日 SAAJ近畿支部2011年度研究大会にて報告した資料より作成

 

   

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:25
累計アクセス数:156708
本日訪問者:13
累計訪問者:20903
2018年9月
« 8月    
 1
2345678
9101112131415
16171819202122
23242526272829
30