2)開催報告

会員番号 1709 荒町 弘

1.セミナー名称 : IT-BCP体験セミナー
2.開催日時   : 2016年7月30日(土)13:00~17:00
3.開催場所   : 大阪市ICT戦略室内 研修室
4.当日参加者  : 受講者 16名
 スタッフ 荒町、尾浦、金子、松井、伊藤(BCP研究プロジェクト) 福本、三橋

 

5.開催報告

bcp_20160730_01本セミナーは大阪市ICT戦略室からの実施依頼に基づき開催しました。大阪市ではICT-BCPの策定を今年度実施するにあたり、幹部職員を中心とするメンバーに対して意識付けを行うための研修を行いたい、という意向から当協会のセミナーグループに相談を頂戴しました。近畿支部BCP研究プロジェクトでは、今回、「個別セミナー」でのBCP体験セミナー実施を検討し、開催の運びとなりました。
受講者にはあらかじめ当日の演習で用いるA社に関する情報を事前配布資料として提供し、事前学習のうえ、体験セミナーに臨んでいただきました。
カリキュラムは3つの講義と演習2題から成っており、オリエンテーションの後に講義1、続いて演習2題を実施した後、講義2講義3を行っていただきました。演習課題では大規模災害発生時の企業IT部門担当者の立場で初動対応について検討いただきました。16名の受講者は3つのグループに分かれてグループ討議を行いリーダーが検討結果を発表するという流れで、8つの課題を限られた時間の中で検討し、結果をチームごとに発表するというものであり、緊張感のある体験演習を行っていただきました。チーム単位での検討結果の発表後は、講師講評を踏まえて受講者全員で成果の共有を図りました。bcp_20160730_02

5.1 オリエンテーション(担当:荒町氏)

セミナー開催にあたり、オリエンテーションとして以下の説明からスタートしました。
・SAAJ近畿支部BCP研究プロジェクトの活動概要
・IT-BCPの普及状況や東日本大震災の教訓としての災害時における初動の重要性
・当セミナーの目的とするところについて

5.2 講義1:「自治体ICT-BCPの現状と想定外への対応」(担当:松井氏)

1つ目の講義として、 と題した講義を行いました。講師自らが経験してきたBCPの実効性を高めるための取組みの紹介に続き、ISOや各種ガイドラインが推奨している事項について触れました。ISO22301では、策定したBCPの実効性を検証する要求事項として「演習およびテスト」を、実効性を高める取組みとして「意識・能力の向上、および訓練プログラム」が推奨されています。経済産業省ガイドラインにおいては、BCPの有効性を確認する手段として「テスト」を、BCPの維持を確認する手段として「監査」が言及されており、総務省のガイドラインでは「簡易訓練」「定期的な訓練」の実施が必要不可欠であると述べられています。
BCP訓練の必要性が述べられている一方で、実際にはBCP訓練が行えない組織が多い。「負担の少ない訓練・演習の方法」「本番環境に影響を与えない訓練・演習の方法」を周知することで、訓練・演習を実施する組織を増やすことができるのではないか、そのための取組みとして「実機訓練」と「机上訓練」がある。
bcp_20160730_03「実機訓練」と「机上訓練」の双方から得られた気付きと成果や注意点に関すること、それぞれの比較について解説を行いました。比較の結果、本番環境への影響が少ない「机上訓練」からの取り組みを行い、予備機を用いた訓練、本番機を用いた訓練へと段階的に取組みを進めることで訓練の限界を広げていくのが良いのではないか、という提案もありました。
最後に、想定外への備えについてICT部門としてどのように認識し、どのような準備が必要で、どのような対応がとれるのか、という問題提起とともに、訓練を段階的にステップアップする方法の紹介をもって講義を終了しました。

5.3 グループ演習 (担当:金子氏/尾浦氏(講評担当))

受講者には、近畿圏で30店舗の運営を行う中堅流通業を営む企業A社のIT部門担当者の立場で、大規模災害が発生した直後に起こる8つのシーンに対してどのような初動対応を行うのかということについて検討し、グループで共有・討議のうえリーダーに発表してもらうという流れで演習に取り組んでもらいました。bcp_20160730_04

①8つの課題を10分間自分自身で考え、対応内容を記した付箋を貼り付ける (所要時間10分)
②グループメンバ全員の付箋を模造紙に貼り・共有・討議し、意見をまとめる(所要時間20分)
③グループごとに検討結果を発表する(所要時間5分)
演習では、検討課題に対して意図的にタイトな時間設定とし、限られた時間内で多数の案件を一度に迅速に意思決定する重要性に気付いていただく狙いで、インバスケット研修の手法を採用しました。

(1)演習1(災害発生直後の初動対応)

災害発生直後に起こる社内各部署からの問い合わせ等に対して、IT部門としてどのように判断・対応するべきかを検討していただきました。
・優先順位付け、どの部署の誰にどのように指示を行うか等bcp_20160730_05

(2)演習2(IT-BCPのポイント検討)

 IT部門として、何を事前に準備・計画していればより適切な対応が可能であったかを検討していただきました。
・行動計画/ルール、危機対応時に有効な文書/資料、ダメージを少なくする事前対策等

(3)講師講評/演習の解説 (担当:尾浦氏・金子氏)

 各チームの発表内容に対し、講師側から実務体験も踏まえて講評を行いました。また、8つのシーンの設定の背景と初動対応、及びIT-BCP策定のポイントについて解説しました。

5.4 講義2:「自治体のための演習補講」~地防計・全庁BCPとIT-BCP~ (尾浦氏)bcp_20160730_06

2つ目の講義は、グループ演習の補講として、そして地域防災計画・全庁BCPとIT-BCPという視点での講義を行いました。グループ演習の補講としては、演習課題のいくつかのシーンをモデルに、その状況が発災に関して「覚知」の段階なのか、「情報収取・分析」あるいは「災害対策本部設置 BCP発動」のどの段階にあると想定されるか、といった課題提起からはじまり、タイムラインを意識したBCP対策の必要性等について事例を交えての講義を行いました。
発災後の経過時間ごとにフェーズを4段階で分け、部局ごとに異なるBCP対象業務があり、応急対策を要する業務と通常業務との区分に応じた対応の考え方などについて、講師ご本人の経験も踏まえて解説しました。

5.5 講義3:「組織のBCPを確実に動かすために必要なもう一つの準備」

~職員の参集率と家族の危機管理~(伊藤氏)
bcp_20160730_07大規模災害発生直後には職員の安否確認や参集可否などの確認が行われ、組織の復旧への行動や市民の生命・財産を守るための行動が行われます。この際、職員自身がいち早く職務に専念できるためには、自らの家族の安否確認ができていることが前提になると考えられます。このように、危機管理に必要な要素として、家族の危機管理も大きな部分を占めると考えられ、家族の危機管理が(事前準備と災害直後の対応)ができてこそ、組織の危機管理・地域への貢献ができるものと考えられ、「公助の限界」を大きく広がられるヒントがあるものと思われます。
本講義では家族の危機管理に対する考えや、災害発生直後の行動基準を定め公表している自治体の事例紹介、民間企業でのBCP策定・実践例などの紹介を行いました。
講義後、勤務時間中に巨大地震発生によりインフラサービス停止(停電発生)した場合、何に困るか、その事象は事前対策可能なものか、その後の判断により対応を取らなければならない事象なのか、についてグループでディスカッションいただき、グループ発表を行っていただきました。

6.受講された皆様の感想

受講された皆様からは、以下のようなご意見をいただきました。(アンケートから抜粋)
・これまでに総務省の資料を読むなどしてわかったつもりになっていても、制約された時間の中で発想すると、わかっていなかったことに気づくことができた
・今日の目的がBCPの早期作成であるため・発災時にしなくてはいけない事/判断しなくてはいけないことの気づきがありました。
最後の自組織の課題検討は課題が少しバクっとしていて取り組みにくかった
・普段はあまり考えない状況について検討する機会となった。
・テンションが上がった
・時間がない中で判断していく難しさと重要性が実感できた。
・BCPを作成するための気づきになり有意義でした。
・IT-BCP策定に向けて基礎的な知識を得ることができた。
・初動対応時にすべき行動を考えると なかなか思いつかず、事前の対応が必要であることに気づいた。
・ICT-BCPの着眼点が明確に解説していただいている。

7.感想

今回はBCP研究プロジェクトとしても初めての「出前セミナー」でありました。受講者も政令指定都市のICT-BCPの策定と運用を担う方々ということもあり、スタッフ一同もいつも以上に緊張して臨んだセミナーでありました。受講いただきました皆様には、グループ演習を通じて、ICT-BCP策定のために役立つ「気づき」を幾分か得ていただけたのではないかと思います。
大阪市ICT戦略室として、災害発生時の初動の判断や、災害が発生した際に被害を最小限にするための備えは何なのか、事前に決めておくべきルール・計画は何なのか、ということについて整理する機会を持たれる際に本セミナーでの「気づき」がお役に立てれば幸いと考えます。
受講者の皆様、スタッフ/関係者の皆様、ご協力ありがとうございました。

以上

会員番号 1709 荒町 弘(近畿支部)

近畿支部では、2015年10月24日(土)、25日(日)大阪大学中之島センターを会場として、システム監査体験セミナー(実践編)を開催しました。受講者は3名、1つの監査チームでの実施となりました。
IT系の建設業や情報通信サービス業などを手掛ける企業g社を事例とし、「経営戦略と情報戦略・システム企画の適合性」「システムとユーザーニーズの適合性」について外部監査を行い、監査報告では課題および課題解決に向けた方向性を示すという流れでロールプレイを交えながら実施しました。

●講義 & トップインタビュー

saaj2015102401最初にコース内容およびシステム監査の実施手順について説明。監査対象企業であるg社の組織の確認をはじめ、社内の情報システム概要や「基幹システムの概要と関連業務の流れ」や「ICT中期計画」等について確認し、その後、受講者はチーム作業を開始し、トップインタビューの準備に入りました。

●予備調査 & 監査個別計画作成

トップインタビューでは、g社が外部監査を依頼するに至った背景や、T社の買収を含めたg社の事業展開の狙いなどについて聞き出した後、g社の事業戦略と情報戦略の整合性や、現行の情報システムに関する評価などについて経営層からみたコメントをもらいました。そして、T社との合併後の情報システムのあり方についての懸念事項などを聞き出すことができました。
 saaj2015102402トップインタビュー後は、従業員アンケートによる情報システムの現場業務への適合度に関する調査結果も踏まえて予備調査の準備が進められました。
予備調査では、情報システム本部長と営業部長向けに15分間のインタビューを実施し、その結果を踏まえて監査個別計画書の作成および発表を行い1日目のカリキュラムは終了しました。

●本調査 & 監査報告

saaj20151024032日目は、本セミナーのメインとなる本調査を実施しました。監査チームメンバは前日にとりまとめた監査計画書および予備調査で収集した情報をもとに、被監査部門であるSIサービス事業等を担当するSEおよびSEマネージャに対する20分間のインタビューを実施しました。質問内容はよく練られており、ITの運用を担う現場での課題などについて、より細かく掘り下げる質問が次々と成されました。インタビューを通じて、現場側での情報システムに対する改善要望なども出てきており、あらためて、g社情報システムの全体最適化に対する取組みが必要であることを確認することができました。
本調査実施後は、本調査のまとめと監査報告書作成、そして最終的には今回の監査依頼者であるg社の経営者を含めた被監査部門への監査報告会を行いました。被監査部門からの質問に対して、これまでの議論を重ねた内容をもとに適切な回答・助言を行いました。
最後に、講師から監査報告書サンプルの紹介と解説、受講者との意見交換などを行い一連のカリキュラムは終了となりました。

●受講者からは以下のコメントを頂戴しました(受講アンケートより抜粋)

<カリキュラム>

・実務の訓練ができたことはとてもよかった。

<セミナー運営>

・もう少し講義があってもよかった。
・初日の開始時間を午前中にしたほうがありがたい。
・事前配布資料が直前に届いたため目を通せなかった。
<その他、気づいた点、改善点など>
・システムの問題点を的確に指摘できるようなシステム監査が求められていると思います。
・ファシリテータのような人を入れて議論や作業がはかどるようにしたほうがいいと思います。

●所感

今回の監査は、企業合併や事業の多角化を進めるg社の情報システムにおける、現場のニーズへの適合性について、および経営戦略と情報戦略との適合性について診断するという、難易度の高い監査であったと思います。
情報システムのあるべき方向性を示してほしいという経営トップからの依頼に対する答えを導き出すには業種や業界に関する理解と予備調査で得た情報の深い読み込みが必要と思われるため、監査チームの方は苦悩される部分が多かったのではないかと思います。
監査チームの皆様は限られた時間ではありましたが、議論を尽くして一連の監査手続きに臨んでもらいました。受講者の皆様、本当にお疲れ様でした。

以上

会員番号 1345広瀬克之 (近畿支部)

1.セミナー名称 : システム監査体験セミナー(入門編)
2.開催日時   : 2015年8月29日(土) 10時~17時
3.開催場所   : 大阪大学中之島センター 302号室

4.開催概要

近畿支部では、2015年8月29日(土)、大阪大学中之島センターを会場として、システム監査体験セミナー(入門編)を開催しました。今回は、これまで数年に渡って開催してきたスーパーマーケットに対するシステム監査のケーススタディから、「セキュリティ」・「マイナンバー」・「指摘文書作成」という3つのテーマに関する内容で10時から17時まで、6名の方に参加頂いて実施しました。コースの概要は以下の通りです。

(1) システム監査の進め方 & ケース演習Ⅰ

2015082901最初にセミナーの説明やスタッフ及び受講者の自己紹介を行った後、「システム監査の進め方」の講義を行いました。その後、本日最初の演習として、実際に起こったセキュリティ事故を題材としたケーススタディを行いました。受講者を2チームに分けて、事故の内容を理解した後、インタビュー項目を想定し、チェックリストのまとめ・報告を行っていただきました。

(2) 指摘文書トピックス

長年、大手電気機器メーカの内部監査人としてさまざまな経験をしてきた協会会員の体験を、有効な指摘文書を作成する上での考慮点・工夫点に焦点を当て、トピックス的に解説しました。

(3) ケース演習Ⅱ

午後から実施した演習は、本年間もなく個人あてに通知される個人番号(マイナンバー)に関するテーマとしました。協会の会員でマイナンバーに詳しい弁護士・福本先生に、まずマイナンバー法に関する主旨を1時間講義いただき、その後、マイナンバー導入において陥りやすい取り扱いの間違いを含んだ人材派遣会社の事例を学習しました。マイナンバーをどのように取り扱うのか経営者の認識、情報システム課長の認識を把握し、ヒアリング項目をまとめて、システム課長にのヒアリング、指摘のまとめ、グループ報告、評価の手順で進めました。

(4) ケース演習Ⅲ

2015082902監査実施の場面では、効果的な指摘文書の作成能力が必要です。外部監査員として多くのISOを中心とした監査の経験を持つ協会会員から、ISO規定・内部監査基準などが要求している報告・指摘文書の要件を解説し、何点からの指摘事例を、受講者が修正し、どのような考えで作成していくかを解説しました。

5.受講者の皆様の感想

受講された皆様からは、「マイナンバー」に関するご意見を中心に以下のようなお声を頂きました。

<マイナンバーに関するテーマ>

・マイナンバーに関する演習については、マイナンバーに特化した視点で考えるのか、監査一般的な視点で考えるのか、その他前提を含め、明確にした方が論点が見えたと思う。
・マイナンバーについては「何となく知っている」レベルだったので、本質について理解が深まった。
・マイナンバーについて、もう少し時間をとってほしかったが、適時でもあり有益度が高いと思う。会社内でもフィードバックしたい。

<セミナーの進め方・全般について>

・グループワークは、個人で考えたことを形にできて、かつ、チームワークの大事さも身に染みましたので、勉強になった。
・グループ演習の時間がもう少し長い方がなお良かった。まとめる時間がうまく取れなかった。
・グループワークや監査文書作成は、最初に規範を示しておく方がよい。人によっては、見当違いなことをやり続けるリスクがあります。
・グループ討議は初対面の者同士なので、スタッフが進行の手助けをする等、時間を有効に使えるよう考慮してもらいたい。

上記の他、時間・費用に対して「満足」とのご意見や、演習テーマの条件等が「わかりづらい」、「事前にシステム管理基準等の準備が必要」、「技術者試験の論文の添削講座など、監査人の仕事の広報や後輩育成の施策を考慮してはどうか」などの、ご意見がありました。

6.感想

今回、申し込み者10名に対して出席者が6名という今までにない、欠席率となりました。(これまでの欠席率はセミナー全体で5%程度)。今後、申し込み者との連携を強化し、当日欠席率の減少の工夫が必要になりました。受講生の皆さんは、システム監査の学習になじみが薄い方と、豊富な経験者の方が参加されましたが、上記のご意見を参考に今後とも、より良いセミナーが提供できるよう努力していきたいと考えています。

以 上

会員番号 1709 荒町 弘

1.セミナー名称 : IT-BCP体験セミナー
2.開催日時   : 2015年6月27日(土)10:00~17:00
3.開催場所   : 大阪大学中之島センター 608教室
4.当日参加者  : 受講者  7名
           スタッフ 荒町、松井、金子、尾浦、伊藤(BCP研究プロジェクト) 広瀬

2015062701 2015062702

5.開催概要

当セミナーは、ケースシナリオを使った体験演習によりIT-BCPのポイントを把握することを狙いとし、昨年度から開始したセミナーです。災害初動の基礎知識や体験演習、IT-BCPの現状と危機対応の原理原則など、IT-BCPの必要性やポイントについて学んでいただくセミナーとして今年も開催しました。
カリキュラムは2つの講義と演習2題から成り、午前はオリエンテーションの後に講義1つ、お昼休みを挟んでのグループ演習を実施し、チームごとの発表および解説を経て、2つめの講義を行うといった流れで1日コースのプログラムを終えました。各演習の最後に検討した結果をチーム単位にまとめて発表いただき、講師講評を踏まえて受講者全員で成果の共有を図りました。

5.1 オリエンテーション(担当:荒町)

はじめに、セミナー開催にあたり、オリエンテーションとして以下の説明からスタートしました。
・SAAJ近畿支部BCP研究プロジェクトの活動概要
・IT-BCPの普及状況や東日本大震災の教訓としての災害時における初動の重要性
・本日のカリキュラムや当セミナーの目的とするところについて

5.2 講義1 (担当:尾浦)

午前の講義として、 「災害初動の基礎知識」~~情報収集力と防災想像力を高める~~ と題した講義を行いました。災害時の初動期のうちでも発災期(最初の3時間)に焦点を当て、BCP発動までの社内の動きを想像してもらうとともに、平成7年の阪神淡路大震災や平成26年の広島土砂災害の事例説明を交えてBCP作成時や検証時の視点について講師自らの経験談を交えながら説明を行いました。
管理者としての立場の方が、危機事象に際して下すべき決断内容と決断に必要となる情報を事前に想定するとともに、危機可能性を察知した際には更に想像力をはたらかせつつ、自ら必要な情報を取りに行く姿勢が必要であるということ。そして、このように「防災想像力を働かせることができるということ」が発災期の情報収集において決定的な差になるということについて事例を通じて説明を行いました。

5.3 グループ演習 (担当:金子)

近畿圏で30店舗の運営を行う中堅流通業の企業A社を舞台とし、受講者にはA社のIT管理部門の社員の立場になっていただき、あらかじめ設定した9つのシーンに対し、各演習のテーマに沿ってIT管理部門としてどのように対処すべきか個人で検討の上、チームとしての見解をまとめました。まとめた内容は、模造紙にシーンごとにポストイットも活用しながら書き出し、2チームそれぞれのリーダ役の方から発表を行いました。
検討内容に対して意図的にタイトな時間設定とし、限られた時間内で多数の案件を一度に迅速に意思決定する重要性に気付いていただく狙いで、インバスケット研修の手法を採用しました。

(1)演習1(災害発生直後の初動対応)

初動としてIT管理部門はどのように対応すべきかを検討しました。
・優先順位付け、どの部署の誰にどのように指示を行うか等

(2)演習2(IT-BCPのポイント検討)

IT管理部門として、何を事前に準備・計画していればより適切な対応が可能であったかを検討しました。
・行動計画/ルール、危機対応時に有効な文書/資料、ダメージを少なくする事前対策等

(3)講師講評/演習の解説 (担当:尾浦・金子)

各チームの発表内容に対し、講師側から実務体験も踏まえて講評を行いました。また、9つのシーンの設定の背景と初動対応、及びIT-BCP策定のポイントについて解説しました。

2015062704 2015062703

 

5.4 講義2:訓練・演習で鍛えるIT-BCP (松井氏)

午後の講義として、 「IT-BCPの現状と危機対応の原理原則」~想定外への対応~ と題した講義を行いました。
講義の概要としては、IT-BCPの現状と課題、「想定外」への対応は可能か?、IT-BCPの原理・原則という流れで講演を行いました。自治体の情報システムに関するIT-BCPの現状や重要データの保管状況など、の参考データを参照してのIT-BCP普及状況の解説を行う一方で、東日本大震災に代表されるような、「想定外」の事態に対しての対応力をいかに付けていけばよいか、という点に対する解決の糸口についていくつかの視点から解説を行いました。
「想定外」にも対応できるような取り組みとして大切なこととして、「IT-BCPの原理原則」、「BCPの5原則」、「危機管理の4原則」について触れながら、日頃の訓練・見直し・改善等の取組みの重要性についての講演を行いました。

6.受講された皆様の感想

受講された皆様からは、以下のようなご意見をいただきました。(アンケートから抜粋)
・初動対応演習で他の参加者からも気付きを得られた。
・時間を区切って複数の課題を検討する訓練は効果があると思いました。
・IT-BCPの重要性やポイントが良く分かりました。
・A社の説明、チームのミッション、ネットワーク図等の理解する時間が不足気味と思われる。
・演習によりIT-BCPのポイントを理解することができました。
・テキスト及びケーススタディ共、よく検討されており、完成度が高いと思います。
・土・日で実施してもらったほうが、参加しやすいので良かったです。
・トイレ休憩をもう少し増やして欲しい。一般と会員の参加費用の差をもう少し拡げても良いのでは?
・ケーススタディの時間が少し短かったと思います。
・2~3時間くらいの方が参加し易いです。
・自然災害以外にも、パンデミックやサイバーテロなどBCP発動される原因は今後増々多種になると思います。そのような状況でIT部門として何を準備すればいいか教えて欲しい。

2015062705

 

7.感想

IT-BCPに関する気付きを提供するという方針で昨年の半日コースから変更して今年は1日コースにて当セミナーを実施しましたが、ケース演習の題材となっているA社の業務内容や情報システムの運用状況に関する理解に時間が不足しているようでありました。一方で限られた時間での意思決定・判断を行うといった演習方法は、昨年に続き受講者の方からも好評を得たのではないかと思います。
また、講義については、昨年は30分の講義に比べて今年の60分の講義にしたことで受講者のより深い理解を促すことができたのではないかと思います。そして、災害に備えた事前準備の重要性や、企業活動の基盤を担う情報通信基盤や各種ITツール等に関するBCP対策についても考える良い機会を提供できたのではないかと思います。演習で発表いただいた内容は、講師側で用意していた正解とは異なった視点の優れた解答もあり、スタッフ一同大いに勉強させていただきました。
受講者の皆様、スタッフ/関係者の皆様、ご協力ありがとうございました。

以上

会員番号645 是松 徹

1.セミナー名称  IT-BCP体験セミナー
2.開催日時    2014年10月25日(土)13:00~17:00
3.開催場所    大阪大学中之島センター 講義室303
4.当日参加者   受講者  10名
          スタッフ 荒町、尾浦、金子、松井(BCP研究プロジェクト)
          広瀬、三橋、小河、鬼松、是松(セミナーグループ)

 5.開催概要

当セミナーは、ケースシナリオを使った体験演習によりIT-BCPのポイントを把握することを狙いとし、今年度から開始した新しいセミナーです。教材を開発したBCP研究プロジェクトとセミナーグループが共同で準備・運営を進めました。カリキュラムは演習2題と2本の講義から成り、演習は受講者10名を2チームに編成して実施しました。各演習の最後に検討した結果をチーム単位にまとめて発表いただき、講師講評を踏まえて受講者全員で成果の共有を図りました。

5.1 オリエンテーション/事例企業の解説 (荒町氏)

bcp_20141025_02はじめに、当セミナーで把握すべき内容として以下を提示しました。

・初動対応の演習を通じて、IT部門に要求される行動を体験する。 ・グループ討議での気付きをもとに、IT-BCPの重要性と自社で取り組む場合のポイントを確認する。 ・IT-BCP策定への道筋として、災害対策本部運営の実際や訓練・演習で鍛えるIT-BCPを学ぶ。 その後、演習の対象となる事例企業(スーパー)の概要を説明しました。

5.2 グループ演習 (進行:金子氏)

あらかじめ設定した9つのシーンに対し、各演習のテーマに沿ってIT管理部門としてどのように対処すべきか個人で検討の上、チームとしての見解をまとめました。まとめた内容は、模造紙にシーンごとにポストイットも活用しながら書き出し、2チームそれぞれのリーダ役の方から発表を行いました。

検討内容に対して意図的にタイトな時間設定とし、限られた時間内で多数の案件を一度に迅速に意思決定する重要性に気付いていただく狙いで、インバスケット研修の手法を採用しました。

(1)演習1(災害発生直後の初動対応)

初動としてIT管理部門はどのように対応すべきかを検討しました。

・優先順位付け、どの部署の誰にどのように指示を行うか等

(2)演習2(IT-BCPのポイント検討)

bcp_20141025_01IT管理部門として、何を事前に準備・計画していればより適切な対応が可能であったかを検討しました。

・行動計画/ルール、危機対応時に有効な文書/資料、ダメージを少なくする事前対策等

(3)講師講評/演習の解説 (尾浦氏・金子氏)

各チームの発表内容に対し、講師側から実務体験も踏まえて講評を行いました。また、9つのシーンの設定の背景と初動対応、及びIT-BCP策定のポイントについて解説しました。

  5.3 講義1:危機対策本部の実際 (尾浦氏)

まず、演習課題を全社BCPの視点から掘り下げ、初動段階において全社BCPの発動状況がIT-BCPやIT部門にどのような影響をもたらすか、また、実際の危機対策本部において全社BCPがどのような経過をたどって発動されるかについて、阪神淡路大震災など過去の大災害における初動の実例を交えた解説が行われました。

次に、危機対応の長期化に際してBCPの実効性を大きく阻害する「社内温度差」の防止に触れ、対策本部体制における機能の絞り込みと各班が担う機能の明確化、組織的機能と物理レイアウトの一致、状況認識の共有、引継ぎ、ローテーション終結基準等の重要性について、米国防総省で運用されている現場指揮システムの紹介を交えて解説が行われました。

最後に、常に機能の拡張・統廃合を意識してシステム設計・開発を行ってきた上級IT技術者は、状況変化に強いBCPの策定に必要なスキルを既に有しているとの指摘がなされました。

  5.4 講義2:訓練・演習で鍛えるIT-BCP (松井氏)

訓練・演習を行わないIT-BCPはテストをしていないソフトウェアと同じでバグがたくさん残っており、有事の際の実効性に不安があるという話から講義が始まりました。また、東日本大震災での情報システムへの被害の傾向として、ネットワークの被害が相対的に大きいことがデータとして示され、今後クラウド化が進む中で、この傾向には留意する必要があるとの説明がなされました。

続けて、訓練の話に移り、机上訓練と実機訓練の対比において、実機訓練は本番系システムに与える悪影響や本番系システム停止が困難であること等から、現実的には机上訓練を推奨するとの説明がなされました。そして、有効な机上訓練としてDIG(※)をITに応用する手法が紹介されました。

このIT版DIG訓練の利点として、システム環境全体の可視化ができ、詳しい知識がない人の参加が容易になること、実施が手軽・簡単であること、様々な意見が収集できることがあげられました。

最後に、いざという時に本当に有効か、副作用はないかとの視点から、実機訓練、机上訓練それぞれについてのシステム監査人が意識すべきリスクが示されました。

※D:災害(Disaster) I:想像力(Imagination) G:ゲーム(Game)の頭文字をとって名付けられた災害机上訓練のノウハウ。

  6.受講された皆様の感想

受講された皆様からは、以下のようなご意見をいただきました。(アンケートから抜粋)

・演習により、5W1H、特に誰が、という指示の重要性等気づきがあり参考になりました。
・BCP、IT-BCPについて、自社の対応を考えるのに役立つ内容でした。
・講義1の単独セミナーを企画いただければ幸いです。ぜひじっくりご教示いただきたいと思います
・演習、実践のヒント、盛りだくさんで、使っていける手法を一つ一つ試していきたいと思います。
・演習は詳しい人の意見が聞けて、いろいろな気付きがありました。
・限られた時間に有益な内容を盛り込まれており、有益でした。
・自分自身で考え、議論し、そして講師に教えてもらうのはよい方法だと思います。
・もっと講師の時間があってもいいかと思いました。
・「IT-BCPが難しい」と思っているのは、専門用語が多いことと、つながりがわからないところで、やはり今日もわからない用語が多かった。
・各グループの演習結果を後で共有いただけると、復習する際に助かります。

7.感想

IT-BCPに関する気付きを提供するという方針で当セミナーを初めて開催しましたが、受講者の感想は概ね好評でした。半日のカリキュラムで演習と講義を体験でき、ダラダラ感がなくコストパフォーマンスが妥当であったととらえていただけたと感じています。一方で、講師の時間が不足、じっくり聞きたいところが時間の関係で割愛されたという感想もいただいており、インプット学習の重要性と演習とのバランスをどうとっていくかが今後の課題の一つだと認識しました。

限られた時間の中で、受講者の皆様には真摯に演習等に取り組んでいただき、また、演習で発表いただいた内容には、講師側で用意していた正解とは異なった視点の優れた解答があり、スタッフ一同大いに勉強させていただきました。

今後とも当セミナーを継続して開催していくべく、近畿支部内でBCP研究プロジェクトとセミナーグループの連携をより強化していくように考えています。

受講者の皆様、スタッフ/関係者の皆様、ご協力ありがとうございました。

 

以上

会員番号1709  荒町 弘

1.セミナー名称  システム監査体験セミナー(実践編)
2.開催日時    2014年8月30日(土) ~ 8月31日(日)
3.開催場所    大阪大学中之島センター 201号室
4.開催概要

saaj_20140830_写真01近畿支部では、2014年8月30日(土)、31日(日)大阪大学中之島センターを会場として、システム監査体験セミナー(実践編)を開催しました。受講者は7名、2つの監査チームを編成しての実施となりました。 1日目は13時から19時、2日目は10時から17時までの2日間コースで実施しました。IT系の建設業や情報通信サービス業などを手掛ける企業を事例とし、「情報システムの現場業務に対する適合度」について外部監査を行い、監査報告では課題および課題解決に向けた方向性を示すという流れでロールプレイを交えながら実施しました。

(1) 講義 & トップインタビュー

最初にコース内容およびシステム監査の実施手順について説明。監査対象企業であるg社の組織の確認をはじめ、社内の情報システム概要や「基幹システムの概要と関連業務の流れ」や「ICT中期計画」等について確認した。その後、受講者はチーム作業を開始し、トップインタビューの準備に入りました。

(2) 予備調査 & 監査個別計画作成

トップインタビューでは、インタビューの目的を的確に伝え、g社が外部監査を依頼した目的のヒアリング、g社の事業展開や外部環境変化、情報システムの役割と今後の期待などについて詳細なヒアリングが実施された。また、従業員アンケートによる情報システムの現場業務への適合度に関する調査結果も踏まえて予備調査の準備が進められました。 情報システム本部長と営業部長向けに20分のインタビューを実施し、その結果を踏まえて監査個別計画書の作成を行い、チームごとに内容を発表していただき1日目のカリキュラムは終了しました。

(3) 本調査 & 監査報告saaj_20140830_写真02

2日目は、本セミナーのメインとなる本調査を実施しました。受講者は準備した質問項目に従って、監査対象企業のSIサービス事業等を担当するSEおよびSEマネージャに対する30分間のインタビューを実施しました。トップインタビューおよび予備調査で得た内容から検討された質問内容はよく練られており、短い時間の中で簡潔・的確なインタビューが実施されていました。 本調査実施後は、本調査のまとめと監査報告書作成、そして最終的には今回の監査依頼者であるg社の経営者を含めた被監査部門への監査報告会を行いました。被監査部門からの質問に対して、これまでの議論を重ねた内容を背景に適切な回答で対応されていました。 最後に、講師から監査報告書の紹介や解説と受講者との意見交換などを行い一連のカリキュラムは終了となりました。

5.受講者の皆様の感想

受講された皆様からは、以下のようなお声をいただきました。 ・机上の勉強を実践で体験できた点において期待通りでした。一方で、事前の知識のレベルが想像以上に高く(講義がほぼ無く)ロープレが開始されました。チームメンバーに恵まれて助かりました。 ・チーム作業で、考え方・まとめ方などの手順等が学べて良かったです。 ・大変学ぶところの多いセミナーでした。システム業務、システム監査ともに未経験で、事前配布資料を見た時はいったいどうなるのか・・・と心配でしたが、当日は講師の方々、チームメンバーの皆様のおかげで、調査フェーズ、報告書フェーズともやりとげることができました。 ・わからないながら、グループの方に助けられて、報告書ができて良かったです。 ・2日間盛り沢山の内容であっという間でした。良い研修でした。感謝です。 ・テーマが監査として取組むには難しかったと考える。こういうケースで学ぶことも必要であると考えるが、よりベーシックな、基本的なシステム監査について学んだ上でというステップが適切かと思います。

6.感想

今回の監査は、企業合併や事業多角化を進めるg社における現行システムの現場のニーズへの適合性や経営戦略・情報戦略との適合性について診断するという、新システムの企画・計画段階での監査であり、難易度も高く監査人には高い質問力を問われる監査であったと思います。 監査チームの皆様は限られた時間ではありましたが、議論を尽くして一連の監査手続きに臨んでもらいました。受講者の皆様、本当にお疲れ様でした。

以 上

会員番号1790 吉谷尚雄

1.セミナー名称  システム監査体験セミナー(入門編)
2.開催日時    2014年6月28日(土) 10時~17時
3.開催場所    大阪大学中之島センター 608号室
4.開催概要

saaj2014062801近畿支部では、2014年6月28日(土)、大阪大学中之島センターを会場として、システム監査体験セミナー(入門編)を開催しました。10時から17時までの1日コースで、スーパーマーケットに対するシステム監査のケーススタディを主な内容として、11名の方にご参加いただきました。コースの概要は以下の通りです。

(1) 講義 & チェックリスト作成

最初にセミナーの説明やスタッフ及び受講者の自己紹介を行った後、「システム監査概要」の講義を行いました。その後、本日のケーススタディで学習する内容を監査手順に従って説明し、受講者を2チームに分けて、インタビュー項目の洗い出しを行い、チェックリストをまとめていただきました。

(2) インタビュー & 監査報告書作成 & 監査報告会

午後からは、作成したチェックリストを用いて、店舗営業部とシステム課に対するインタビューを体験していただきました。インタビュー後は監査結果を監査報告書にまとめ、監査依頼者にあたる監査室長以下の被監査組織に対してチーム単位で監査報告していただきました。本セミナーではチェックリスト作成から、監査報告会までをロールプレイで体験いただきましたが、いずれの監査チームとも、監査室長以下からの質問に対して適切に回答されていました。

(3) 監査エピソード

ケーススタディ以外にセミナースタッフの監査経験を基にしたエピソードを紹介しました。1回目は、「プロジェクト監査考察」というテーマで、システム開発や運用フェーズを監査する項目は「システム管理基準」に規定されており、その他、ISO21500(プロジェクト管理)・ISO20000(ITサービス)など、プロセスを確認する規格が存在することを紹介しました。これらを考慮しながら、現実のプロジェクトの運営状況を点検する方法について考察しました。2回目は、「機密書類の廃棄」というテーマで、電子媒体の削除は比較的厳密に管理されているが、紙媒体については不用意に裏紙使用されているリスクが散見されることを説明しました。企業内でシュレッダー処理する場合が多いが、多量の場合は廃棄物として処理される場合が多く、その場合は機密書類の破棄として業者選定に注意が必要なことについて話しました。短い時間ですが、受講者にとっては、今後監査に何らかの関与する際に、有益な内容であったと思います。

5.受講者の皆様の感想

saaj2014062802受講された皆様からは、以下のようなお声をいただきました。

・具体例でのシミュレーションは役に立ったと思います。参考になりました。ディスカッションはいろんな方の意見が聞けて楽しかったです。
・ヒアリング以外の監査手続きについても触れてみたい。ロールプレイングの担当者とのやりとりは新鮮。報告会も質疑応答もあり、これまで受講したことがなく新鮮だった。
・教材が非常によく練られた内容で受講生のレベルを問わず学びを得られる深い内容でした。座学だけでなく、他受講生仲間とのワークを通した体験は自分でこなせている点、未熟な点がはっきりし、役立つものでした。
・具体的な事例で、事前に資料配付があったので、ある程度考えておくことができ、よかったです。これがないと、1日で意見を出し、まとめるのは難しかったと思います。エピソードなど、コーヒーブレイク的なお話もあり、楽しく有意義な時間を過ごすことができたと思います。期待以上だったと思います。
また、上記の他、「考える時間がもっと欲しい」「ヒアリング以外の監査手続きについても学習したい」など、今後の参考となるご意見も頂戴しています。

6.感想

受講生の皆さんは、システム監査の学習になじみが薄い方と、経験者の方が参加されましたが、全体としてシステム監査を体験するうえで有益であったとの感想を多くいただきました。また、セミナー研修時間が短いとのご意見や、スタッフの研修生に対する気配りが改善点とのご意見もいただき、これらを参考に今後とも、より良いセミナーが提供できるよう努力していきたいと考えています。

以 上

事例に学ぶシステム監査の基本と応用-実施報告

会員番号1710 小河 裕一

 saaj_20131116_事例セミナー01近畿支部では2013年11月16日(土)13時から常翔学園大阪センターにて「事例に学ぶシステム監査の基本と応用」と題してセミナーを開催いたしました。 総勢12名の受講者を迎えて、システム監査の経験に長けた近畿支部スタッフ4名が実際の業務を通じての経験やWGでの研究を通して得られた情報に関して1人45分を持ち時間として講演を行いました。   <<各事例・講義について>> 近畿支部が開催しているセミナーの中で唯一「座学のみ」のセミナーですが「現場に近い」講義内容で、参加された受講者の皆様も興味を持って聴講しておられたようです。 1.内部監査よもやま話(講師:是松 徹) 長年、講師が業務で担当している「内部監査」において、業務を通じて感じている課題とその対応策例をいくつかの具体例を交えながら紹介しました。 監査として要求される事柄と実態とのギャップ、それを埋めるための案など参考にして頂けたと思います。

2.外部監査としてのシステム監査事例(講師:植垣 雅則)

委託されて実施する内部監査の事例や金融機関への監査の実態をご自身の経験を交えながら紹介しました。 いかに「外部監査を有効に利用してもらうか」等、外部の力をいかに使うか及び監査・審査への対応実態を参考にして頂けたと思います。

3.個人情報保護マネジメントシステムとISOマネジメントシステム ―文書と記録の管理を主体として―(講師:吉谷 尚雄)

ISOの認証審査員の経験を通しての、最近のISO動向とISO要求規格に対して「有効な」対応方法を紹介しました。 「共通テキスト」としてまとめられる等、2013年以降のISO改版のポイントや規程に準拠して活動する上での「文書と記録の残し方」、システム監査と「システムの監査」の違いなど盛りだくさんな内容で興味をもって聞いて頂けたと思います。

4.システム監査のBCP監査ポイントについて(講師:荒町 弘)

BCPの中でも「大災害発生時」に関して、東日本大震災における自治体の動きを中心にした事例と、今後の復旧手法やそのシステムに対する監査の事例案を研究成果も交えて紹介しました。

<<受講者の皆様からの声>>受講者の皆様からは以下のような声をいただきました。


評価頂いた意見として、次のようなものがありました。

 ・実体験に基づいたお話で、具体的事例も多くわかりやすかった。
・現場におけるシステム監査の例が参考になった(悪い例が役に立った)
・「外部監査を活用する」ということをもっと取り入れていきたいと感じました。(活用のポイントを踏まえ)
・文書化に関する合理的な考え方(ムダなものは作らない)が大変勉強になりました。
・BCPだけでなく日常トラブルや不測の事態に対応していくための事前チェックや自主監査をどう進めるべきかを考えさせる内容で刺激を受けました。


改善に向けた提言として、次のようなものがありました。

 ・ISO,MSS共通テキスト等の全体フレームや位置付けについて冒頭にある程度説明があればその後の解説が理解しやすかったと思う。


今後もさまざまなテーマを選定し、スタッフの経験を交えて紹介していくセミナーが 開催できればと考えております。

saaj_20131116_事例セミナー02

近畿支部主催 システム監査体験セミナー(実践編)開催結果について】

会員番号01345 広瀬克之

近畿支部では、2013年9月21日(土)、22日(日)大阪産業創造館を会場として、システム監査体験セミナー(実践編)を開催しました。
1日目は10時から18時30分、2日目は10時から17時00分までの2日間コースで実施しました。建築会社を事例企業として、システム監査のケーススタディを主とした内容で、4名の方にご参加いただきました。最少催行人数8名で案内していましたが、当協会の使命およびセミナーの継続性確保の観点で、開催決定といたしました。

●講義 & 経営者インタビューsaaj_20130921_01

最初にセミナーの説明やスタッフ及び受講者の自己紹介を行った後、「システム監査実施手順・手法」の講義を行いました。
その後、本日のケーススタディで学習する内容を監査手順に従って説明し、受講者はチーム作業を開始し、経営者インタビューの準備に入りました。

●予備調査 & 監査個別計画作成

1日目の午後は、経営者インタビューを行い、その結果を受けて予備調査で使用する質問項目検討・予備調査・まとめ・調査報告を体験いただきました。
1日目の最後は、2日目で実施する本調査の準備として、予備調査で得た情報を参考に、本調査でインタビューする項目を含めた監査個別計画作成を行いました。

●本調査 & 監査報告

2日目は、本セミナーのメインとなる本調査を実施しました。受講者は準備した質問項目に従って、対象会社の管理職・一般職、および事例企業のシステムアウトソーシング先企業の管理職・一般職にインタビューしました。短い時間の中で簡潔・的確なインタビューを実施されていました。
続いて、本調査のまとめから報告書作成まで実施いただきました。報告書作成は、どのような事実について指摘をするか、その分類・指摘内容等、議論を重ね適切な内容にまとめていただきました。saaj_20130921_02
最終的には、今回の監査依頼者である事例企業の経営者を含めた被監査部門への監査報告会を行いました。被監査部門からの質問に対して、これまでの議論を重ねた内容を背景に適切な回答で対応されていました。最後に、今回の体験セミナーで事例企業の問題をどのように分析していくのがよいかの、考え方の例を紹介し、一連のケーススタディの終了となりました。

●監査体験の感想

受講された三人の受講者から感想文を頂戴しました。


私はシステム監査技術者の資格を取得したものの、監査の経験は全くありませんでした。実際のシステム監査業務が自分のイメージどおりの物か確かめたい、という動機が本セミナーへの参加のきっかけとなりました。
参加して一番感じたことは、チームで作業する事の難しさです。資料の読込みや被監査部門へのインタビューの過程で色々な細かいリスク事項はチーム内で浮かんで来るのですが、メンバー同士で興味分野が発散する傾向があり、意見の集約に難航する場面がありました。また、監査手続を進めるに従って新たなリスクの発見もあり、最終的な監査報告書は、当初の監査計画書の監査項目から外れた指摘事項を多く含む物となってしまいました。
本セミナーでは、このようなシステム監査業務の実践的な難しさについて気付き得たことが、何よりも成果であったように思います。

 五野 友裕


最初の感想としては、1組だけだったので、驚きました。セミナー参加人員より、講師の数
が多いセミナーは珍しいと思います。日頃システム監査を実際に行うことはないですが、
今回のセミナーは実践力がついた気がします。同じ組の松井さんの的確なアドバイスもあり、有意義なセミナーでした。ただ、4人参加でしたので、8人くらいいれば、もっと他の人の考え方を参考にできたと思いますので、不満としては、人数が少なかったことです。
協会へのお願いとしましては、やはり、システム監査の法制化を目指していただいて、公認システム監査人として報酬を得る機会を増やしていただきたいと思います。そうなれば、セミナーの参加者も自然と増えると思います。

 村阪 浩司


・今回の会社の要望が「ISO系以外の観点によるシステム監査の実践的演習の受講」だったため、その内容に違わぬ貴重な機会となりました。
・ISO基準の枠外のところ(いわゆる非機能要件や、サービスマネジメントの有効性測定等)で、どういう取っ掛かりから着手するかの悪戦苦闘する過程を事前に実感できたことが大きな収穫でした。実際のISO系監査よりは会社法系・業務監査系の色合いが近い印象を受けました。
・実例に即している部分は説得性があり、確かにメインフレーム系という古びた技術でありますが、講師の方からご指摘があったように「ブラックボックス化した最新技術と同等に考えてみる」という視点にははっとさせられました。貴重な教材だと思います。あとはマニュアル共々、IPAさんの最新知見なども加味したアップデートを期待します。
・参加者が多い方が、他チームとの比較という点でより理解が深まった気がします。もっとも今回も、人数以外の要素では格安な料金設定なのに高品質の演習だと感じました。
・METIやIPA、その他他のプライマリベンダー等の協力を得た開催回数の積極増を期待します。また、ISMSやISO2000との関係をすっきり説明頂くとなおありがたいです。(今回、ISO19011の上に重ねて、さらに赤本やシステム監査基準の知識素養が必須なのか、どこまで重なる要素があるのかも関心事でした)

 石崎 大介


今回受講されたみなさんは、将来も見据えて何らかの形で監査業務に関与されておられるわけですが、今回の学習を通じて、さらに、システム監査に必要な手順・インタビュー方法の気付きや再確認につなげていただけたと思います。

以 上

会員番号01345 広瀬克之

近畿支部では、2013年6月22日(土)、常翔学園大阪センター(西梅田)を会場として、システム監査体験セミナー(入門編)を開催しました。
10時から17時までの1日コースで、スーパーマーケットに対するシステム監査のケーススタディを主な内容として、13名の方にご参加いただきました。

●講義 & チェックリスト作成semi2013-01
最初にセミナーの説明やスタッフ及び受講者の自己紹介を行った後、「システム監査概要」の講義を行いました。
その後、本日のケーススタディで学習する内容を監査手順に従って説明し、受講者を4チームに分けて、インタビュー項目の洗い出しを行い、チェックリストをまとめていただきました。

 

●インタビュー & 監査報告書作成 & 監査報告会semi2013-02
午後からは、作成したチェックリストを用いて、店舗営業部とシステム課それぞれのキーマンに対するインタビューを体験いただきました。
インタビュー後は監査結果を監査報告書にまとめ、監査依頼者にあたる監査室長およびインタビューに回答した現場キーマンに対してチーム単位で監査報告していただきました。本セミナーではチェックリスト作成から、監査報告会までをロールプレイで体験いただきましたが、いずれの監査チームとも、監査室長以下からの質問・反論に対して適切に回答されていました。

 

●監査エピソード
ケーススタディの合間にセミナースタッフの監査経験を基にしたエピソードを紹介しました。1回目「コンサルタントの同席」、2回目「報告書の記載内容」というテーマで、短い時間ですが、受講者にとっては、今後監査に何らかの関与する際に、有益な内容であったと思います。

 

受講されたお二人から感想文を頂戴しました。


セミナーでは大変お世話になり、ありがとうございました。
監査の意義や方法の講義、インタビュー形式の実践と、短い時間に一連のエッセンスが凝縮されており、また受講生とほぼ同数という沢山のスタッフの方にサポートして頂き、事前知識の無い私でも、楽しく参加することができました。
体験型のワークショップは、セミナーの醍醐味でした。管理基準に沿って現場から情報を汲み上げ、報告書として纏める重要性と難しさは、講義だけでは得られないものだと思います。
業務でITを構築している側が、監査側の視点を知ることはとても有意義です。同僚や同業者にも勧めたいと思います。(Y.F)


監査の実践への理解を深め、営業活動に役立てたい。シンプルな動機で体験セミナー(研修)に臨んだ。場面設定が工夫された教材は助けとなった。問題点から仮説をたて、どのような監査基準項目でチェックポイントを設定するか。具体にどのような質問で言葉を引き出すか。研修での監査チームとしての共同作業で、インタビュー結果(調書)から報告書を作成することの奥深さ。研修は良き経験となった。企画、開発、運用、保守のシステムライフサイクルおけるシステム監査の意義は依然高い。ITガバナンスの強化に資するべく、今後に活かしてゆきたい。
末尾で恐縮ながら、お世話になった監査チーム各位、並びに準備運営を頂いた事務局各位の御協力御尽力に厚く御礼申し上げます。(永井克則)


今回受講されたみなさんは、多くはシステム監査の学習になじみが薄い方でしたが、システム監査を体験するうえで有益であったとのアンケート結果をいただいています。また、スタッフサポートがよかったというご意見や、タイムマネジメントをもう少ししっかりするように、というご意見もいただきました。これらを参考に今後とも、より良いセミナーが提供できるよう努力していきたいと考えています。
以 上

報告者:No1345広瀬 克之

・概要seminar2012
近畿支部では、11月17日(土)13時から、常翔学園大阪センターで、「事例に学ぶシステム監査の基本と応用」と題したセミナーを開催しました。14名の受講生を迎え、近畿支部スタッフ4名がシステム監査の現場で発生している諸問題について、それぞれ45分を持ち時間として講演しました。
・内容
1.テーマ監査/業務監査としてのシステム監査事例
-J-SOX・IT統制評価と棲み分けて-
グローバル企業で、内部監査室に勤務し幅広く内部監査を実践している支部会員の講演です。年間を通して、どのように監査を実施し、効果をあげているか、また何を課題認識しているかについて、実際に利用しているチェックリストなども交えてご紹介しました。
2.ファイル共有ソフトによる情報漏洩事故の事例
大手ハード・ソフトベンダーでシステム監査室に勤務中に遭遇した事件について、どのように問題をとらえ解決していったかを紹介しました。協力会社による情報漏洩という身近な事象に、興味を持って頂けたと思います。
3.システム管理基準等を用いたBCP(事業継続計画)監査について
近年数々の災害・事件に見舞われ、BCPはすべての組織にとって大きな経営課題となっています。その中で近畿支部が取組んでいる実企業へのBCP策定支援やBCPの監査に関する考察などを紹介しました。
4.マネジメントシステム規格の統合的な運用 -内部監査の効率的な運用事例-
講師が長年外部監査の専門家として環境、品質、プライバシー監査に携わってきた支部会員であり、最近話題となっている統合監査のホットな話題を、具体的な条文も引用しながら紹介しました。多くの企業が複数の認証に向けて今後取組む指針を与えるものと思います。

それぞれの講演をみなさん興味深く聴講され、講演後、積極的に質疑もされて、テーマの関心の高さがうかがえました。今回のセミナーは、システム監査の場面では何が起こっているのか、興味・関心を持って頂くことをねらいとして、支部会員の経験・考えをご紹介するものでした。受講生の皆さまからは次のような声を頂きました。
・「テーマ監査/業務監査としてのシステム監査事例 -J-SOX・IT統制評価と棲み分けて-」は実際の内部監査事例で、具体的で大変参考となった。
・「ファイル共有ソフトによる情報漏洩事故の事例」の起こってしまった監査の事例として参考となった。
・当社でもBCP監査を実施しているが、システム管理基準等を用いたBCP(事業継続計画)監査について」を聞いて、アプローチの仕方が間違っていなかったことがわかった。
・「マネジメントシステム規格の統合的な運用」にあった「具体的な確認事項」は参考にしたい。
また、今回は事例を気軽に聞いて頂こうという企画のため、資料は当日配付としましたが、「事前に学習しておきたかった」「実用的なシートだったので利用してみたい」などの意見も頂きました。これらを参考に、今後も会員の経験を有効活用できるような機会を作りたいと考えています。

以上

2010年度、近畿支部では連続セミナーとして、4つのシステム監査セミナーを企画し
無事終了することが出来ました。
下記本部サイト会報記事に、セミナーの報告と受講者の感想が掲載されています。

6/12 システム監査入門セミナー1回目
 > http://skansanin.com/saaj/rpt1/201008kiji.pdf

7/10 システム監査入門セミナー2回目
 > http://skansanin.com/saaj/rpt1/201009shibu.pdf

8/21 システム監査課題解決セミナー
 > http://skansanin.com/saaj/rpt1/201010jireiken.pdf

9/25-26 システム監査実践セミナー
 >http://skansanin.com/saaj/rpt1/201011shibu2.pdf

お忙しい中ご参加頂きました皆様には、厚く御礼申し上げます。