6.会員紹介

・実施日:2016年2月26日(金) 19時~21時
・場 所:大阪市北区中之島某所
・面談者:下田 あずさ
・応対者:是松 徹、神尾 博、阪口 博一、金子 力造

・内容

1.1 システム監査及びSAAJと関わりを持たれた経緯

shimoda03もともとはSEではなくアパレル関係の生産管理部門にいたのですが、職場でシステム化に関わったことで興味を持ちシステム会社に移りました。そこで会計システムのチームに加わったことが、その後の仕事に繋がることになりました。

内部統制(いわゆるSOX法)をきっかけにシステム監査技術者の資格を取得し、SAAJに登録しました。縁あって(当時の会社上司が松田先生に大学院で師事していた)、GRC研究会(システム監査学会)にも参加し、SOX導入の事例発表を行っています。その後、三洋電機(株)【※】に入社し、直近ではSAAJ近畿支部の月例研究会にてERP監査技法について、会社メンバーと共同で事例発表(2015/9)をさせていただきました。【※現所属は、パナソニックインフォメーションシステムズ(株)グループIT統制支援室】

1.2 SAAJに関わる活動の中で、思い出に残るエピソード

出産後は、子連れで研究会に参加させて頂き、特に2011年の研究大会で座長を務めさせて頂く際の、膝の上に子ども(当時8ヶ月)を乗せての経験など思い出深いです。また支部活動の中でメルマガ編集長(2016.2現在も継続中)をおおせつかったことも非常に貴重な経験でした。2人目出産後の編集長代理をITサービスグループの中で対応いただいたこともあり、つど起こる事態への柔軟性を鍛えられました。自らサスティナブルの体現を目指ししています。

2.1 現在のお仕事のこと、著作物など

shimoda04 総合電機メーカー内の内部監査部門にて、主にIT監査を実施しています。監査対象は、グループ全体(国内・海外)。直近の海外監査では、2015/11にドバイの営業所への現地監査を担当しました。内部監査実施だけでなく、研修等の企画にも携わり、内部統制推進教育、内部監査人教育、SAP・Oracle EBS等のERPシステム監査技法開発、不正監査技法開発等の業務に従事しています。

著作物:監査基準研究会(ISACAの分科会)での縁を通じ『IT内部監査人―リスクに対処しマネジメントを支える役割と実務』(生産性出版/ISACA監査基準研究会:編)を共著として刊行。

2.2 趣味として取り組まれているもの

【トライアスロン、トレイルラン、マラソン】
もともとはサイクリング部で夫と知り合いました。で、結婚後に夫のトライアスロンの応援をするうち、ゴールする人々の達成感に溢れる表情を見ていてちょっと羨ましい気持ちになり、どうせなら自分もチャレンジしてみようかなと...ハマりました。地元の応援に感動します!目標はロング・トライアスロン完走です。(ロングとは、約3km泳ぐ、約180km自転車、約42kmフルマラソン、だそうです)
【ゴスペル、ピアノ】
 ゴスペルは、天使にラブソングみたいな黒人霊歌ですね。ソウルフル、パワフルな歌が多い。直近の出演が1/25にあったところです。アルト(低音女声)。
shimoda06【読書】
 小説もノンフィクションも漫画も(アニメも)大好き!「エヴァンゲリオン」「スラムダンク」「鋼の錬金術師」「ガラスの仮面」などなど。活字も好き!宮本輝や保坂和志、南木佳士など、人間ドラマや心理を描いているのが好きです。上橋菜穂子、向山貴彦、佐藤多佳子、三浦しをん・・・(キリがないですね)
ちなみに、夫の方が家事は得意です。

3.1 今後、取り組みたいと思われている事柄

「サスティナブル」をキーワードに、引き続き、子育てや介護・自身や家族の闘病等との両立ができるような社会を目指したいです。縁があって「システム監査」や「SAAJ」に関わっていますが、社会の様々な問題ともつながっていると感じています。私は女性ということもあり、何かと少数派になることが多いです。真の意味での多様性やサスティナブル、WLB(ワーク・ライフ・バランス)を目指して、随時、情報発信等を行っていきたいと思っています。

3.2 システム監査の展望

システム監査の法制化を目指す動きもありますが、なかなか現場(特に経営層)の理解を得られにくいのが現状だと感じています。SOX法も、法制化されたからこその普及と定着はあるものの、反発もあり、形骸化も出てきていると感じます。より本質的な対応を目指すために、SOX法だけでなく「システム監査」そのものの普及を目指すべき。民間企業に先んじて官公庁から等の段階的導入も有効ではないでしょうか。そのために法制化からのトップダウンアプローチが必須だと感じています。またそれに対応すべくシステム監査人の地位も、法に守られたステータスが必要ではないでしょうか。モチベーションとインセンティブが重要だと思います。

【所感】

写真だけだと取材なのか宴会なのかわからないですね。前回に続き今回も居酒屋で飲み、かつ食べながらの楽しい取材となりました。料理も最高に美味しかったです。
下田編集長の、とにかく多趣味&パワフルな話に男性4人は終始圧倒されるばかりでした。現在のお仕事に至る経緯も、トライアスロンを始めることになったきっかけも、本人曰く「ついついなんでも手を出したくなる」と言われるとおり、チャレンジ精神旺盛で失敗を恐れぬ行動力がすごいです。システム監査への想いも熱く語っていただきました。まさにゴスペル!を聞くかのような取材でした。ありがとうございました。

・実施日:2014年12月1日(木) 19時~21時
・場 所:千房 〜ハービスPLAZA〜
・面談者:吉谷 尚雄
・応対者:是松 徹、神尾 博、金子 力造

1.システム監査、及びSAAJと関わりを持たれた経緯

yoshigai01 プライバシーマーク審査員として活動を始める際に、プライバシーマーク審査員の草分けの一人である馬場孝悦理事の知己を得て、SAAJの会員となりました。それまでシステム監査の経験はありませんでしたが、公認システム監査人資格を取得してから、ISMS、QMS、 EMSなどの認証取得や維持・改善のコンサルティング活動の一環として、システム管理基準をギャップ分析に加えています。
システム監査を単独で実施した経験はありませんが、ISOマネジメントシステム審査基準と統合して行っています。サービスですがお客さまには喜ばれており、今後も続けて行きたいです。ただシステム管理基準の認知度は低く、長く改訂されていませんので、システム管理基準のISO化などを含めて改定を期待しています。
検索エンジンで個人名検索をかけた際、SAAJ活動の実績が引っ掛かるのは、初対面の方からの評価や話題提供として大いにメリットがあります。特にコンサルを生業にしておられる方やフリーランスの方は、入会のみならず積極的な活動参加をお勧めします。

2.現在のお仕事のこと、著作物など

元々前職の会社でISOの認証取得を管理責任者として事務局を任されました。その過程で審査員資格を取得したことが独立するきっかけとなりました。
品質、環境、情報セキュリティマネジメントシステム審査、PMS審査を契約審査員として実施する活動が主体となっています。その他として、各マネジメントシステムの構築・維持・改善のコンサルティングを”有限会社吉谷コンサルティング事務所”の屋号で行っています。
最近では新規に取得する企業は少なく、企業の内部監査員教育や内部監査の受託、マネジメントシステム改善の指導を行っています。日本全国色々な会社に行っています。千の会社があれば千のやり方があり気が抜けません。
マネジメントシステム審査は、審査とコンサルティング行為の峻別が重要であり必要です。マネジメントシステム審査では、審査員個人の考えを封印し、根拠に基づく判定を心掛けています。この縛りがあって言えないことも多いのですが、コンサルティング業務では自分の考えをはっきり言えるのがいいですね。
 yosigai02その他の仕事として、昨年度になりますが流通科学大学の特別講師を務めました。QMSの審査基準に関する事例を交えた解説といった内容ですが、講師としての事前の予習で私の方が勉強になりました。
同文館出版発行「個人情報保護マネジメントシステム実施ハンドブック」に共著者として加わっています。PMSの構築には、JIPDECプライバシーマーク推進センター編「個人情報保護マネジメントシステム実施のためのガイドライン」の「個人情報保護マネジメントシステム作成指針」に詳しく解説されています。しかし、多くの中小企業にとって規定や帳票類作成は負担が大きく、所謂「コンサルタントに丸投げ」の一因になっていると考えます。PMSを自力構築する企業にとって、大変有益な書籍に仕上がっていると自負しています。
SAAJ会員の皆様の中で、PMSのコンサルタントを目指す方にも有益な書籍です。

3.システム監査の展望

 SAAJ会員は企業や地方自治体に現役として勤務されている方も多いですが、私のように独立したり、引退されている方には、ITの最新技術情報が実務として入ってきません。それを補ってくれる研究会活動、ワーキンググループ活動は素晴らしいものです。
公認システム監査人資格、会報、論文投稿を通じての実績が、他の仕事の力量の要件として認められてもいます。
システム監査の展望としては、単独又は主体としてシステム監査を依頼する企業が増加するか否かにかかっていると思います。

4.趣味として取り組まれているもの

yoshigai03 小さい頃から魚釣りが趣味でした。20年位前の話ですが、ものすごく寒い2月に、姫路沖でメバルのカンテラ釣りとかもやりましたね。最近では、お金を掛けずに海のボート釣りがお気に入りです。
今年は4月頃から、メバル、シロギス、アジ、イワシ釣りに出かけます。早朝3時間も出船すれば釣れても釣れなくても、気分転換に最高です。更に、イワシは団子にしても天ぷらにしても感動の美味しさですよ!
フィッシング分野向けのIT機器といえば、ソナー(魚群探知機)です。安いものも出てきたので、今度買おうと思ってます。タブレットやスマートフォンと連携したものです。大物も釣れるかもしれません。機会があれば、SAAJで釣り好きの方も一緒に行きませんか?

【所感】

 今回は、師走の大阪市内の地下街で、お好み焼きのコースを食べながらの楽しい取材となりました。残念ながらオフレコの部分も多く全部は掲載できませんが、ISOや個人情報保護に関する現場の有益なお話を沢山お聞きすることができました。お酒が進むにつれ吉谷さんの舌もどんどん滑らかになり、最後は釣りのお話で大いに盛り上がりました。釣りもIT活用の時代だそうです。ありがとうございました。

1.1 システム監査及びSAAJと関わりを持たれた経緯

もともと資格取得に積極的だったため、情報処理試験の資格取得の中で2回目の挑戦で「システム監査」に合格しました。その後、本会に入会し、2009年に「公認システム監査人」を取得しまた。

1.2 システム監査及びSAAJに関わる活動の中で、思い出に残る事例やエピソードtabuchi3

これまで、ERPなど基幹系システムとの関わりが多かったのですが、2009年3月にJ-SOXが導入された際、「システムと会計と法律の全てが分かる人材」の欠如が深刻な問題であると痛感しました。また、設計上の考慮不足について「運用でカバー」というフレーズを安易に使うSEが跡を絶たない現状を見て、我が国の将来に非常に危機感を覚えました。
また、自分の仕事では、某連結会計システムの法令対応不備について、これを内部から修正させることの難しさを痛感しました。「会計基準を深く理解しているSE」、「システム開発経験豊富な会計士・税理士」の欠乏は、我が国の発展における大きな阻害要因であると思います。なお、「金融商品取引法」の罰則の強化(虚偽記載の罰金は最高で7億円)などの流れを受けて、日本公認会計士協会の「IT委員会報告第31号」では、数値の誤りを直感的には把握しづらい「連結会計」、「減価償却」、「年金計算」の3分野について特に注意を喚起しています。
会員紹介の第2回で安本先生も述べられているように、「システム監査の法制化」を早急に実現させる必要があると思います。詳細は割愛しますが、企業の財務・経理システムに限っては「会社法」の若干の改正だけで実現可能です。
2012年6月の衆議院での消費税の公聴会では「公認システム監査人・IFRSコンサルタント」の肩書で出席させて頂きました。放送局員は「公認システム監査人」という資格についてご存知無かったようで、改めてSAAJの発信力の充実・広報機能の強化の必要性を痛感した次第です。なお、意見開陳の冒頭部において、「増税の前にやるべきこと」の一例として「システム監査法制化」を潜り込ませて頂きました(笑)。

2.1 現在のお仕事について

東京港区のコンサル会社に所属し、プロジェクトによって京都府長岡京市と東京都世田谷区を往復しています。コンサルティングの分野では、IFRS(国際会計基準)と連結会計をメインとしているほか、環境コンプライアンス、環境会計、交通政策も手掛けています。また、コラム等の執筆や、講演、政策提言(法令改正条文案作成)、メールマガジンの発行、国会議員や地方議員へのロビー活動等も行っています。

2.2 趣味として取り組まれているもの

現在、趣味として取り組んでいるものは、多言語比較研究です。私の母校の大学は非常に良い伝統があり、理系でも第三外国語を習得する人が多数いました。現在、SAP社の製品を取り扱う機会が多いのですが、メッセージにフランス語が混ざっていたり、DBの中枢にドイツ語が混ざっていたりします。この「マルチ・リンガリスト」を大量に育成している点が、最も東大に勝っている点であると思います。
なお、大学入試では、来年から原則的にセンター試験が5教科7科目に戻るとともに、(私立文系も含めて)「数学」の入試の必須化が検討されています。また大学入試の外国語が二ヶ国語となり、大学の卒業単位において外国語が三カ国語となる方向です。

3.1 今後取り組みたいと思われている事柄

2013年12月のSAAJ本部会報とも一部重複しますが、システム監査法制化プロジェクトのメンバの知識や知恵を借りながら、ロビー活動として以下のテーマに取り組んでいく所存です。

(1)システム監査の法的義務化
(2)新しいIT事業者評価制度の創設
(3)IT技術者の地位回復のための、研究開発費の資産計上の復活
(4)ソフトウェア(コンピュータプログラム)に対する製造物責任法(PL法)の適用
(5)個人情報保護法の全面見直し
(6)技術競争力強化やサイバー犯罪対策を考慮した電力エネルギー改革
(7)データセンター(DC)等での「電気通信主任技術者」(伝送交換)の配置の義務化
(8)原発・食品衛生・ISO等マネジメント系審査制度の「推進」と「審査」の組織の完全分離

3.2 SAAJの展望、課題

今回、沼野前会長の発案により、SAAJの会長選出方法が見直されました。これはSAAJの活性化に繋がると期待されます。しかし本来、理事の選出は堂々と選挙・投票で行い、事前の調整やそれに類する「李下に冠を正す」ような行為は慎むべきであるというのが私の信条です。
また、会員(特に公認システム監査人)の知識の陳腐化を抑制し、ステークホルダである被監査側の方々の信頼を失わないためにも、IPAの最新シラバスへの適合、およびその活動のSAAJ内や外部への広報の充実が、急務であると考えています。

・実施日:2012年4月3日(水) 15時30分~16時30分
・場 所:三洋電機株式会社 会議室
・面談者:浦上豊蔵担当部長
・取材担当:林裕正、金子力造、永田淳次

1.1 システム監査及びSAAJと関わりを持たれた経緯

!cid_69239D34-AD15-4BEA-A175-A4D308E767F8 三洋電機株式会社に入社し、当初は、ビデオテープレコーダ(VTR)のメカ設計を担当していました。その後、VTRの制御用マイコンの開発を半導体メーカーと行うなど、ソフトウェア制御システムの開発を行っていました。2000年代半ば位までの家電製品は携帯電話もそうでしたがROMに書き込むタイプで、製品出荷後にバグが発生すると、製品回収するしかなくソフトウェアの完成度は高いものが求められていました。組込ソフトウェア開発の信頼性向上の方法をいろいろ模索していたのですが、その時に最初に出会ったのがシステム監査基準(今のシステム管理基準)でした。1990年代の初め頃だったと思います。
私が所属していた事業所では1990年代の前半にEDP部門とCAE部門が統合され事業部横断の情報基盤センターが組織化されました。私も初めは組込ソフト開発手法の標準化メンバーとして参画したのですが、製品に使用するマイコン用の開発ツールがマイコンのメーカーに依存し、製品毎に使用するマイコンが異なる状況で有ったため開発手法の標準化に理解が得られず困難な状況でした。事業所間の足並みが揃わない状況でしたが、自社の開発センターが開発した汎用アセンブラシステムやコードマネジメントシステムをDEC社のコンピュータ上で動かし、複数人が開発したソフトウェアの変更管理の一元化を行うなど、バグの低減化に取り組んでいました。私たちが担当したシステムでは、出荷後のバグは無かったと記憶しています。 その後、グループウェア等情報系システムの導入推進や経営層への活用啓蒙、そしてサプライチェーンマネジメントシステム(SCM)のプロジェクトを担当しました。 情報基盤センターでは、業務関連のシステムに携わることも多くなり、スキルアップを図ることを目的に、情報システム監査技術者試験を受け、その合格を機に協会に参加しました。
SCMを担当したとき、マネジメントは制御システムに於けるフィードバックコントロールと同じであるということに気付きました。制御を行う場合センサーを使って機械の状態を検出し、目標値との差を元に次の目標値を演算して目標の状態になるようにシステムをコントロールします。SCMにおいても、目標となる販売量を決め、実際の販売量との差分を元に、次の生産に必要な原材料の投入量や仕入れ量をコントロールします。制御システムでは状態の検出する周期を短くすればより精密にシステムをコントロールできます。SCMにおいても計画を達成するために、例えば実販売量の把握を、年次、半期、四半期、月次とより細かくすることにより売上げの達成精度を上げることができるのです。

1.2 システム監査及びSAAJに関わる活動の中で思い出に残る事例やエピソード

組込ソフトウェアの開発を担当していたときシステム監査基準に出会ったのですが、その時に感じたのは、システム監査基準の考え方は汎用性があり、ホスト機だけでなく組込みシステムのソフトウェア開発にも適用でき品質向上に適用可能であるということでした。情報戦略や企画、開発、運用、要員管理、外部委託などそこに記述されている項目はフレームワークとして組込ソフトウェアに対して適用するものでした。確かに元々対象としているシステムがホスト系であるため、全く違和感が無いとは言えませんが、そのほとんどは内容を補足したり読み替えることで組込系ソフト開発に適応できるものです。
協会に入会して良かったことは、制御システムを担当されていたメンバーや、私の考えを支持して下さる先輩方に巡り会えたことです。
協会における私の活動は、協会主催の2001年5月の第1回システム監査実践セミナーに参加したことをきっかけに、2002年から2007年まで近畿支部独自に開催をした実践セミナーのスタッフそして講師の一員として参画させて頂きました。それまでは、システム監査を実際に経験したことはないペーパードライバーでしたが、この活動を通じてシステム監査のノウハウを先輩メンバーから学ぶことができました。

システム監査を学んで思ったことは、監査は経営の一部であること。監査を通じて経営に貢献できるということです。私は、理解ある上司からの推薦により、会社から2004年から2005年にかけて米国ボストン大学のMBAに留学し経営を学ぶ機会を与えてもらいました。その後大阪市立大学社会人大学院創造都市研究科でITをどうビジネスに活用するか学びました。
2007年からは監査室で勤務し、これらで得られた知見をIT統制の業務に活かしてきました。ただ、残念なことは、まだまだ多くの人が監査についての理解度が低く、規定や基準と実際の業務での遵守状況を評価することだけが監査人の業務だとみていることです。私が監査を行うときには、必ず部門の経営者に対して、監査の目的、経営への貢献そして現場だけでは改善できない状況の理解の要請とその対応方法の提示を行い、経営者として改善を主導することの必要性を説明し理解を得るようにしています。

2.1 現在のお仕事

!cid_ABDD6546-B0FE-4056-8614-36DCF1EEC2D2 三洋電機がパナソニックグループ傘下になってから、情報子会社の監査室、アメリカの子会社の情報担当副社長を経て、現在は、三洋電機株式会社ITシステム本部のIT統制推進グループに所属し、主にパナソニックグループでのSOX監査対応を行っています。私が担当する範囲は、グループの海外子会社です。
現在の職場に於いても、現場からの信頼を獲得し、内部統制が適切に確保されるように心掛けています。

2.2 趣味として取り組まれているもの

オーディオの製作が趣味で、アンプやシンセサイザー等を自作していました。最近はアメリカ留学中にはまったBOSE社の製品を愛用しています。自宅のパソコンは、1979年にコモドール社のPET2001を購入したのが最初で、現在はApple社のMacを使っています。家族もMacを使っており、デスクトップ、ラップトップ等4台が現役で使用しており、最初に購入したものから含めると7台のMacが稼働する状態で残っています。

3.1 IT部門の課題

まず、ITが経営に貢献していることが見えにくい。もっと経営に必要なものだとアピールする必要があります。その為にシステム部門は、システムをただ動かすだけではなく、使い方や活用法のアドバイスなど積極的に利用部門に提示していかなければなりません。会社のビジネスにおいてどのようなITが求められているかを、身近に知ることができるのは社内のIT部門です。 IT部門から能動的に現場のニーズを発掘しシステムを提供する。そしてその使い方を現場に教授する。そうしないと、アウトソーシングでどんどん外に出ていってしまう。
クラウドについては、スタートアップとしては良いと思います。クラウドで出来ない部分をシステム部門できっちりフォローし、ITで培った事業に関するノウハウは、強みとして内部にキープすべきだと思います。本来システム部門の人間は、全体の業務プロセス(特にデータの流れ)を一番良くわかっているはずです。IT部門は、トップマネジメントと業務担当部門の間に入って、歯車ではなく、ミドルアップダウンマネジメントを実践して、IT活用を提案しながら、プロセスの変革を促し会社を良い方向に変えて行く意識を持つことが大事だと思っています。

3.2 システム監査の課題

Exif_JPEG_PICTURE 今後クラウドコンピューティングが進展し、ITもファブレスの時代になると思います。場合によっては、社内にシステムを運用する人がいなくなることもあります。しかしクラウドサービスがいろいろ出てくる中で、これをどう利用するか、どう標準化するかという情報戦略については十分な検討がなされていない(できない)状況かと思います。そういう意味でシステム監査も再考が必要です。サプライチェーンマネジメントでも話しましたが、経営は制御システムに似たところがあります。システム監査人はITと経営の知識を持った方が多いと思います。システム監査人は、その知見を生かして、経営者にITを活用して企業を元気にするようアドバイスできる存在でありたいと思います。
システム監査人協会では、いろいろ学ばせていただきました。しかし経営者は、まだまだシステム監査の必要性がよくわかっていない。経営にどう役に立つのか?ということを、もっと発信し、協会としてシステム監査のプレゼンスを上げていくことが大事ではないでしょうか。

<所感>

守口市のPanasonic三洋電機株式会社にて、取材させていただきました。経験した仕事をお聞きするにつれ、社内で、地道に着実に、情報システム監査に関する成果をあげられているように感じました。
クラウドコンピューティングの進展でITシステムのファブレス化へと変化すると、技術の切り口で語られており、監査対象となる情報システムの変化を把握し、新たな情報システム監査像を描いておられるところが印象的でした。
浦上様がシステム監査のプレゼンスの向上の重要性を説かれている姿をみて、頼もしく感じました。今後とも、社内外での活躍と、その成果に期待しています。

・実施日:2012年12月6日(木) 18時~19時半
・場 所:弁護士法人第一法律事務所
・面談者:福本 洋一弁護士
・取材担当:神尾博、林裕正、金子力造

1. システム監査、及びSAAJとの関わり等について

Q.システム監査、及びSAAJとの関わりの経緯について教えてください。

Exif_JPEG_PICTURE大学入学時が丁度、インターネット元年と言われる1995年であり、またWindows95が発売された年でしたので、その延長で情報システムには興味を持つようになりました。
弁護士登録から3年目に入った頃に関わったプロジェクトで、大阪市立大学の松田先生とお知り合いになり、システムの専門家の側から法律を研究されているのが非常に斬新だと感じ、自分は法律の側からシステムを研究してみたいに思うようになりました。
また、松田先生との雑談の中でシステム監査の存在を知りましたが、当時は弁護士でシステム監査技術者は東京に一人しかいないようでした。そこで、今なら資格を取得すれば西日本で唯一のシステム監査技術者兼弁護士になれると考え、独学で勉強して何とかシステム監査技術者の試験に合格しました。
弁護士は情報技術というと敬遠される方が多いですが、弁護士とシステム監査のアプローチは、基準に照らして事象を捉えるという面で似ている部分があり、自分としてはシステム監査に余り抵抗はありませんでした。松田先生や当時の支部長であった吉田さんにご紹介をいただき、近畿支部の研究会に参加するようになりました。

Q.弁護士としての仕事とシステム監査との関係について

情報システムとの関係で取り扱う案件としては、情報資産の取扱いに関連するコンプライアンスや内部統制等の整備支援、情報システムの権利関係に関する契約の検討や紛争・訴訟対応等があります。システム監査の視点は、弁護士としての執務においても情報システムに対する理解に役立ちますし、システム監査技術者ということで、クライアントから情報技術に関する知識について信頼してもらえます。

Q.趣味や嗜好で、ITやシステム監査と繋がっているなと感じることは?

新旧問わず建築物に興味があります。いかに大きな建築物でも、計算された設計と人間による小さな作業の積み重ねによって造られており、情報システムも同じようなことがいえると思います。建築物も情報システムも、綿密な準備と努力を積み重ねることの大切さを感じることができます。私は海外旅行があまり好きではないのですが、ガウディの建築物は見に行きました。いずれも他の者には思いつかないような独創的なもので、一見の価値はあると思います。

Q.SAAJや近畿支部への貢献についてExif_JPEG_PICTURE

弁護士でシステム監査技術者という特異性を生かして、法律家の立場から、システム監査に関わる情報提供をしていきたいと考えています。そのため、コンプライアンスのシステム監査研究会やクライド研究会にメンバーとして参加しています。また、今年の定例研究会では、マイナンバー制度の解説をさせて頂きました。

2. 最近の事件や動向について

Q.最近、話題になった事件についてどう思われますか。
ファーストサーバの事件で、改めて分かったことは、クラウドサービスはリスクが高いと言うことだと思います。
システム開発委託契約関連の相談でも、基幹系システムをクラウドにしたいと言う案件が多くなっていますが、自社の情報を外部に出すことに対して安易に考えている場合が多いように思います。その原因として、「情報」の特性として「情報」そのものは所有権の対象にならないことが意識されていないこと、すなわち、著作権や営業秘密等として特別に保護される情報以外は誰でも自由に利用でき、情報に対する独占的・排他的な支配は「情報」を格納する媒体(サーバ等)の所有をもってしか実現できないことが、世の中であまり意識されていないことにあると思います。

3.ネット社会の進展と弁護士の職業について

Q.セキュリティにもご精通されているとか。フォレンジックやeディスカバリもご存知ですか?

フォレンジックは証拠保管の完全性や、実績のある専用ツールの使用などが重要です。
eディスカバリについては、日本の会社が対象となることもありますし、それに適切に対応しなければ米国での裁判において制裁を受けることになりますし、多額の対応コストを負担することになります。もっとも、日本においてはこの分野が専門の弁護士はほとんどいないと思いますが。

Q.ネットでの情報流通で、ちょっとした相談事なら弁護士は不要といった場面も増えています。法科大学院も規模縮小の方向が示しているように、市場規模は縮小傾向。そうした時代の弁護士の生き残り方についてどう思われますか?

Exif_JPEG_PICTURE私は逆の発想で、アクセスしやすいリーガルサービスが増えるべきであると思っています。
弁護士というのは一般の人々にとって敷居が高く、現在でも弁護士に相談するほどの案件ではないと思って相談しない方は多いと思いますし、相談に来られてももっと早くに相談に来ればよかったのに…と思うことも多いです。インターネットの情報流通をきっかけにして、弁護士に相談した方が有利な解決ができるのではないか、法的リスクを検討してもらう方がよいのではないかと気づいていただければ、我々弁護士の活躍できる場が広がり、市場は拡大する可能性もあると思います。実際、事前にネットで調べてから相談に来られる方も増えています。
また、我々弁護士も法的サービスの多様化を図る必要があると思います。高額だが個別事情に対応した法的サービスまでは求めないが、より安価で標準的な法的サービスを求める方にも対応できる仕組みを考えなければならないと感じています。紛争や裁判になる前に弁護士に相談してもらった方が、標準的な法的サービスで足りる部分が多いですし、裁判になってから相談されるより絶対コストは安いわけですから。
ぜひ皆様にもリスクマネジメントとして弁護士をもっと活用していただきたいと思います。

 

<所感>
クリスマス用のオブジェも散見される、薄暮の街角から向かった、ビルの中の弁護士事務所。そして案内された応接室の机上には、六法全書が。屋外の冷気と対照的な、福本さんの爽やかな熱弁が響き渡りました。特に胆力には脱帽。ネット時代の弁護士のあり方といった、あえてぶつけた厳しい質問に対し、ポジティブな姿勢と堂々とした精緻な論陣で、相手を納得させる手腕に舌を巻きました。
昨今、こうしたお互いを高める、全体を発展させるのを目的とせず、我説を徹底して守り、相手を打ち負かすのがディベートだという風潮をよく見かけます。そんな中、久々に心地よい交歓が出来た事に、感謝の意を表したいと思います。
氏の今後のご健勝を祈念します。

1.1 システム監査及びSAAJと関わりを持たれた経緯

荒町弘 私は平成4年に(株)内田洋行に入社しました。当初はオフコンによる私立学校様向け事務システムの担当営業を経験し、3年目から自治体様向けシステムの担当営業に従事しています。クライアントである自治体様でITを統括している川端さんとの出会いがあり、情報システムの開発・運用等における監査の観点からの助言を各種いただきました。川端さんはSAAJ設立当初からのメンバーの一人でもあり、(財)地方自治情報センター(LASDEC)の講師も務められるなど、幅広く活躍されており、自治体業務以外にも広くIT全般に精通されています。
もともとコンピュータはそれほど得意ではなかった私でしたが、川端さんの「常に学ぶ」という姿勢に影響され、ネットワークやセキュリティにも興味を持つようになり、後にシステム監査技術者やITストラテジストなどの資格を取得することができました。
営業職でシステム監査技術者の資格を持っているのは社内的にも珍しいと思います。そして、仕事上ではシステム監査の実践経験が積めないため、川端さんのご紹介でSAAJに入会しました。

1.2 システム監査及びSAAJに関わる活動の中で思い出に残る事例やエピソード

SAAJでの活動は、自分自身の自己研鑽の場として大変役立っています。資格は仕事に直結はしませんが、少なくともお客様に対して一定の信頼性をアピールできるというメリットはあります。ただその裏返しとして自らの発言に対する責任はより一層強くなると感じています。
仕事柄システム監査の実務はなかなか経験できないため、システム監査の実務経験を少しでも積むため、SAAJのセミナーWGへの参加や、さらにBCP研究会を立ち上げるなど積極的に活動しています。昨年の近畿支部の研究大会では中間報告として、BCP研究会の発表をさせていただきました。緊張しましたが、デビューの場を与えていただいたことに大変感謝しています。
現在、会社の理解もあって、積極的にSAAJの活動に参加させていただいています。

2.1 現在のお仕事について

 (株)内田洋行を少しPRさせていただきます。当社大阪支店のショールーム「ユビキタス協創広場CANVAS」をご覧いただくとお分かりになりますが、当社は、ITとオフィス環境の融合、そしてデジタルコンテンツを活用することで、あらゆる「空間づくり」「場づくり」のお手伝いをさせていただいています。
この取り組みは、産官学共通のソリューションであり、公共分野であれば、「いい学校」や「いい行政」を「視える形」にするというコンセプトでソリューション提案を行っています。
私の現在の業務は、自治体様向けのシステム営業であり、西日本地区を担当する課の責任者としてマネジメントを行っています。そして、当社がお客様に提供する「ウチダ公共クラウドサービス」では、今まで自己導入型で構築してきた業務システムをクラウドサービスにて提供しています。クラウドサービスは、BCPという面からも新たな価値提案ができると考えており、私のSAAJでの取り組みとも関連性が高いため、今まで学んだことが生かせるようになってきたと感じています。

2.2 趣味として取り組まれているもの

趣味としては、お酒と子供(主に3女)の相手です。また、韓国ドラマのファンであり、「チャングムの誓い」「オールイン」「チュモン」等は記憶に残ったドラマですね。

3.1 今後取り組みたいと思われている事柄

現在、自治体様では、ITを活用した住民サービスの向上や安全で安心してくらせる「まちづくり」、行政事務の効率化など、多くのテーマに取り組んでおられます。さらに、自治体様では、IT専門職員の確保がなかなか難しい状況にあると思われますので、我々のような事業者が積極的に情報提供をしながら自治体様のIT化のお役に立てればと考えています。今後はBCPを含んだシステム監査や、クラウドの構築・利用の運用を対象とするシステム監査を行うような新たなサービスを提案してまいりたく存じます。
また、システム監査やPMの資格等を重視するお客様も増えつつありますので、社内の営業マンにも学ぶ機会を増やし、資格取得を薦め、技術レベルの向上を目指して積極的に自己啓発の後押しをしてまいりたいと考えています。

3.2 システム監査の展望

 自治体様を取り巻く環境は、ほぼ毎年行われる税制改正をはじめ、ここ数年、自治体合併、後期高齢者医療制度や、最近では外国人住民に係る住民基本台帳制度への対応など、絶え間なく変化しています。次はマイナンバーですが、これは大規模であり、他システムとも関係が深く、影響範囲は広範です。システム監査を行うことは有効であると考えられますが、自治体様のシステム監査はセキュリティ面が中心であり、運用面や業務面でのシステム監査まではなかなか手が回らないのが現状であろうかと思われます。
ITの調達から導入・運用後までの一連のライフサイクルの中で、ポイントを定めての監査は有効ですが、個々の自治体様で行うのはなかなか難しいと思われますので、外部の共通組織によるシステム監査を実施するというのも有効であると考えます。一つの例として、韓国の情報社会振興院がありますが、IT調達の支援から運用後の監査を外部の共通組織が行うという面で参考になるかもしれません。

注)情報社会振興院(NIA)は、各省庁のシステム調達の支援や監査と電子政府の戦略を立案するシンクタンクとしての役割がある。
(参考 http://itpro.nikkeibp.co.jp/article/COLUMN/20120731/413085/

 

<所感>
荒町さんは、システム監査業務と直接関係の薄い営業職を担当されています。自治体が構築するITシステムは重要インフラを担うことが多く、その営業活動も苦労が多いと感じました。重要インフラであるにも拘らずIT技術者の確保が簡単でない組織に対して、システム監査の知識を基に一味違ったITシステムの提案をされていました。
後輩のスキルアップの一つとしてシステム監査を取り上げられたりBCPという将来より重要となりそうなテーマに対して真摯に取り組まれていることに、頼もしく感じました。
最後に、お忙しい中にもかかわらず、取材にご協力いただきましたこと厚く御礼申し上げます。今後のご活躍に期待しています。

取材担当 文責:永田淳次、林裕正、金子力造

1.1 システム監査及びSAAJと関わりを持たれた経緯

 Q.システム監査との関わりは?

1959年日本生命のユーザ部門からスタートし、その後1983年から検査部門でEDP検査を経験したことが、この世界に入るきっかけであった。しかし当時、監査の判断基準となるシステム監査関係の基準類が整備されておらず、指摘事項についてユーザ部門やシステム部門の理解は、なかなか得られないものがあり苦労した。
そのような時代、FISCの米国システム監査調査団に参加する機会に恵まれた。
当時、日本の金融検査では検査マニュアルも非公開があたりまえであったが、米国では監督当局が用いるEDP検査マニュアルが公開され、監督当局、被監査会社、監査人の3者が同じ基準を共有している実態を知り大いに感銘を受けた。この米国調査で得られた資料類からFISCのシステム監査指針をはじめとし、様々な手引き書にブレークダウンされ、日本の金融機関のシステム監査が体系的に整備されるきっかけになったと思う。
協会では1993年に副会長、近畿支部長を勤めた他、システム監査実践マニュアル(初版)の第1章を執筆した。

1.2 過去に実施されたシステム監査の中で、思い出に残る事例

Q.どれくらいのシステム監査に関与されましたか? 思い出に残る事例なども。

日本生命時代は、毎月1,2テーマくらいシステム監査(内部監査)を行った。その後1999年から現在の情報システム監査株式会社でビジネスとして監査を行うようになった。
外部監査の対象は中央省庁、地方自治体、民間企業等あるが、思い出に残る事例として、宇治市の有名な情報漏洩事件をきっかけにしたシステム監査がある。それまで監査報告書は内部の利用が主目的であったが、弊社の監査報告書50頁ほどが市議会や広く外部に全文が公開された事は画期的であったと思う。その後、慰謝料として高額な判例が出たこともあり、地方自治体でのシステム監査は一気に加速された。

Q.内部監査と外部監査を両方経験された上での違いなどありましたら。

内部監査では改善を実現させるためフォローが大切である。外部監査ではフォローまで関与出来ない場合が多い。また外部監査は、現在多くのものが入札制であるので継続して行うことが難しい。発注者側として、毎回同じ所だともたれ合いになる危険性もあるのはわかるが、スポット的監査になるので、その辺が寂しい。

2.1 現在のお仕事、著作物について

Q.現在のお仕事をご紹介ください

一つは、人材育成で、鳥取環境大学でシステム監査、経営情報処理論の講義をこの12年間行っている。
鳥取環境大学は、県と市の支援があり建物、図書、勉学の環境が整備されており、「環境」というテーマであるがゆえ珍しく全国から学生が集まっている。
また情報システム監査株式会社で提案書や監査結果のレビューを行い、テーマ毎にアドバイスを行っている。

2.2 趣味として取り組まれているもの

Q.お仕事以外に趣味等は?

和歌山や高知まで出向き釣りを楽しんでいる。仕事では、無駄の排除や業務の効率化を
訴えていたが趣味は真逆で、高いものについている。場所や季節によりエサや選択する道具が異なるため、釣りは文化だと思っている。最近は素人でも魚群探知機や電動リールが手に入るようになり面白みは少なくなった。

3.1 今後取り組みたいと思われている事柄

Q.今後の取り組みについて

現在は、監査の実務の現場に出ることは少ないが、現在の会社で監査報告書のレビュー等を通して後進の指導に当たっている。また、大学での指導もできるだけ続けて行きたい。

3.2 システム監査の展望、SAAJの展望について

Q.システム監査の法制化について

これまでで一番悔しい思いをしたのは、お隣の韓国でシステム監査の法制化が先に実施されたことである。そのきっかけは、日生のシステム監査の事例を掲載したレポートが韓国の方の目に触れ、システム監査調査団が日本にこられた。そのときシステム監査を定着させるには法制化が必要と力説した。その結果、韓国では官公庁・自治体においてシステム監査の実施が義務化された。
日本においてもシステム監査の法制化が必要であり、特に重要インフラに関わるシステムについては、必要性が高い。したがって、システム監査人の育成も重要であり、もっと多くの監査人が必要である。
(※詳細は、下記論文を是非ご参照下さい。)
> http://www.isanet.co.jp/_siryo/pdf/tottri_20091022.pdf

 

<所感>

システム監査基準が作成される過程(当時のEDP検査やFISCの報告書等)の話を、伺うことができ、立上げることの難しさと、その情熱に感銘を受けました。安本先生がつけられた道筋を、前につないでいく必要があると感じています。
また、検査マニュアルが非公開から公開へとなることで体系的な整備へとつながったことは、改めて、知識の共有化の重要性を再認識いたしました。
最後に、お忙しい中にもかかわらず、取材にご協力いただきましたこと厚く御礼申し上げます。今後とも、宜しくご指導をお願いします。

取材担当 文責:永田淳次、林裕正、金子力造

1.1 システム監査及びSAAJと関わりを持たれた経緯

 (1)システム監査との関わりは?kimura01
 24歳で会計士試験に合格した後、監査法人に入り、7年間会計監査に従事したが、その中で 『汎用監査プログラム』 を扱ううちに、コンピュータに慣れ親しんだ。
 監査法人もコンサルティング業務に進出するべきだと主張し、某社の会計システムや予算編成システムの構築を受注し、開発プロジェクトの価格見積もりをしたり、プロマネ(PM)を担当した。
 公認会計士という肩書きから、システムの事を知らないのではという誤解があるが、30代からシステム開発に深く関わり、主にプロマネとして開発現場経験は15年になる。
 その中で、会計監査の際に情報システム側も見ないと十分な監査ができないということになり、情報システムに強い人材としてシステム側の監査を担当する事になった。ここからシステム監査に取り組みはじめた。
 その当時は、「システム監査基準」などが未だない時代であったので、手探りの面もあった。基準の無い時代は、主に米国の資料などを頼りに行った。

 (2)SAAJと関わりを持たれた経緯は?
 システム監査の国家試験が始まる前年に、過去問題集などが無いので『情報処理試験<特種>合格者』を中心にして、事前勉強会を毎月開催した。その時のメンバーが母体となってシステム監査人協会 近畿支部(当時の名称は近畿会)ができ、初代の会長になった。

1. 2 過去に実施されたシステム監査の中で、思い出に残る事例

 (1)どれくらいのシステム監査に関与されましたか?
 会計監査と連携する形で、当時年10件くらい、トータルで100件~150件くらいはやったと思う。対象は主に上場会社のIT全般統制、それ以外では自治体の監査などにも関与した。

 (2)その中で特に思い出に残る事例があればご紹介下さい
<例1>某社の固定資産・減価償却処理の中の「取替法」に関する処理を監査した際、プログラム・ロジックをトレースしていてミスを見つけたものの、指摘の仕方を配慮しないと過去の監査に遡って問題が生じるので、指摘方法に苦慮した。
<例2>地方自治体の監査の際、汎用機系の担当部署とサーバー系の担当部署の体質の違いに新旧文化の違いを感じた。

2.1 現在のお仕事、著作物について

 (1)今のお仕事は主にどのようなものでしょうか?
 関西学院大学大学院の教授と、会計士、税理士という立場のコンサル業を両立させている。
 関西学院大学大学院では、アカウンティングスクール(専門職大学院経営戦略研究科)で大学院生を対象に、システム監査や会計情報システムについて指導している。コンサルは、社外取締役等の立場で、CIOの役割を担ったりシステム化委員会へのアドバイスを行っている。

 (2)著作物について教えて下さい
 著作物は、トーマツコンサルティンググループ時代に著しており、事務システムを解説したものである。近著「IT内部監査人 リスクに対応しマネジメントを支える役割と実務」はISACA監査基準研究会の会員で分担して著しており、IT全般統制やJ-SOX対策等、豊富な内容である。

2.2 趣味として取り組まれているもの

 (1)ご趣味、特技などあれば教えて下さい
 趣味は、ゴルフ、テニスだけでなく、北海道、新潟、福井のゲレンデでスキーを楽しんでいる。
 読書は速読が苦手なので、多くは読まない。今は「2012年 資本主義経済 大清算の年になる」高橋 乗宣 (著), 浜 矩子 (著) を読んでいる。

3.1 今後取り組みたいと思われている事柄

 (1)保証型監査はどうですか?
 会計監査は元来保証型であり、保証型はシステム監査の原型である。ただ、個人としては保証型を実施した経験はないが、システム監査も保証型であらねばならないと思う。
 SAAJ近畿支部の監査サービスで実施された保証型の事例は賢明なアプローチをされたと思う。

 (2)クラウドに対するシステム監査の対応は?
 米国のある論文で自前のシステムと同様に十分監査すべきという意見がある一方、OSと一緒だから監査は不要という両極端な意見がある。現実のあるべき姿は、クラウド業者の成熟度に応じて適切なレベルで監査を実施すべきかと思う。
 今後はシステム部門だけでなくユーザ部門の対応が重要となってくる。どこまでやるかというバランスをとりながら、契約などにより適切な外部統制を効かす必要はあると思う。

 (3)TPPで農業や自動車業界以外に金融業界やIT業界への影響は?システム監査の方法として米国流を押し付けられないか?
 そもそもTPPはブロック経済の性格をもつため、正しいのか吟味する必要がある。米国が自国の産業を立て直すための仕掛けに加担して良いのか良く検討したほうがよい。情報サービスは既に自由貿易になっている。システム監査は当初から米国流を踏襲しているので、心配ないと思う。

3.2 システム監査の展望、SAAJの展望について

 (1)これからのシステム監査について展望をお聞かせ下さい
 J-SOXを通じて、上場企業のIT統制のレベルは間違いなく向上した。システム監査に関する認識は高まったが、法制化は難しいと思っている。

 (2)これからのSAAJの役割や展望についてお聞かせ下さい
 民間企業がシステム監査を個別発注するようになるのは望み薄だと思う。社会的責任の重いシステムを構築する時に、開発途中のキーポイントで的確な提言・指摘をしてくれるコンサルタントがいればお金を払っても良いと思う経営者は多いと思うが、システム監査人に対してこの役割を期待してもらえるかどうか疑問である。
 システム監査人は内部統制をもっと勉強して、経営者の期待に応えられるようになる必要がある。

<所感>
 会計監査とシステム監査の両分野にわたって、広い視点と深い洞察力で永年監査をしてこられた先生から、システム監査草分け時代の苦労話やシステム監査は保証型であるべきというご意見を拝聴でき、勉強になりました。
 外部監査人として企業からシステム監査を100回以上も受託され、豊富な監査実績をお持ちの先生ですら、保証型システム監査は実施されたご経験がないとの事でしたので、前人未踏の分野として後進がチャレンジすべき領域が示されたように思いました。
 最後に、お忙しい中にもかかわらず、取材にご協力いただきましたこと厚く御礼申し上げます。今後とも、宜しくご指導お願いします。

取材担当 文責:永田淳次、松井秀雄、金子力造

日本システム監査人協会 近畿支部では、システム監査に従事されている方、システム監査にご興味のある方、また支部活動を支援して下さる方を広く募集しております。

詳しくは、こちらよりお問合せください。


[counter 2010.01~]
本日アクセス数:44
累計アクセス数:133162
本日訪問者:21
累計訪問者:16980
2017年10月
« 9月    
1234567
891011121314
15161718192021
22232425262728
293031