会員番号:2056 浜田 恒彰(近畿支部)
1.テーマ 近畿支部30周年記念シンポジウム
―システム監査@ニューフロンティアー
2.開催日時 2018年6月30日(金) 13:00~17:00
3.開催場所 エル・おおさか(大阪府立労働センター) 6F 大会議室
4.参加者数 93名
5、シンポジウム概要
1、開会挨拶 日本人システム監査人協会 近畿支部 支部長 荒町 弘氏
2、来賓挨拶 近畿経済産業局 地域経済部 次世代産業・情報政策課長 森下 剛志氏
3、講演1 新システム監査基準/管理基準のポイント
SAAJ副会長 ㈱ビジネスソリューション 代表取締役 松枝 憲司氏
4、講演2 地方自治体のICT監査に求められる役割と課題について
大阪市行政委員会事務局 監査部ICT監査担当課長 片岡 学氏
5、講演3 ブロックチェーン技術とシステム監査
日本情報システムコンサルタント協会 副理事長 永田 淳次氏
6、パネルディスカッション 「次世代を担うシステム監査のあり方について」
モデレーター: 荒町氏
パネラー : 松枝氏、片岡氏、永田氏、吉田博一氏
7、閉会挨拶 日本人システム監査人協会 近畿支部 副支部長 荒牧 裕一氏
<講演内容>
講演1 新システム監査基準/管理基準のポイント 松枝氏
システム監査関連4団体が中心となって、平成30年4月に11年ぶりに改訂された新システム監査基準/管理基準の改訂のポイントと今後の継続的な改善についてのとりくみ方針等についての報告。
<講演目次>
1、新システム監査基準/管理基準の公開と目的
2、システム監査基準の改訂のポイント
3、システム管理基準の改訂のポイント
4、システム管理基準枠組みのポイント
5、フェーズ別管理基準改訂のポイント
6、ISO38500関連基準の動向
<講演のポイント>
・従来の監査基準では不明確であった誰が、何を、どのようにを明確にした。
・システム管理基準ではITガバナンスに関する記述が強化され、EDMモデルを提唱
・従来は全体最適化の記述があったが、全体とは何か、最適化には正解がなく、環境の変化に追随
しきれない。なのでこれを使わず、ITガバナンスと記述し、経営者がEDMを回して、環境変化に対応していくことを明記した。
・EDMでのITガバナンスモデルは経営者がD)戦略と方針を示し、E)管理者が提案と計画を
フィードバックして経営者の評価を得、M)パフォーマンスと適合度をモニタリングする。
・アジャイル開発の章を新設。ここでの人材の役割はプロダクトオーナであり、多能工となる。
・事業継続管理については事業の継続はITガバナンスにより考慮され、個々の業務の継続はマネジメントの役割となる。
・情報セキュリティ監査基準と併用を可能にするために参照関係を作成。
・さらに日本発のISO基準としてITガバナンスのアセスメントの基準化にとりくみ中。
講演2 地方自治体のICT監査に求められる役割と課題について 片岡氏
AI,ビッグデータ等の新たなICTの進展に伴い、地方自治体においては、それらの徹底活用による一層の市民サービスの向上や行政事務の効率化が求められている。これらはセキュリティを含め、ICTの信頼性や安全性の確保を前提として進められる必要がある。このために、地方自治体におけるICT監査がどのようにな役割を果たすべきかなどについて、大阪市の事例等に基づき報告する。
<講演目次>
1、地方自治体における監査制度
2、地方自治体における監査委員監査およびICT監査の役割
3、大阪市におけるICT監査の実施例
4、地方自治体におけるICT監査の更なる普及に向けて
<講演のポイント>
・地方自治体のICT監査は現状、十分とは言えない状況にある。
・地方自治体の監査委員監査に求められるもの
-常に市民目線に立脚して
-税金が「経済性」「効率性」「有効性」を確保して使われるているか
の観点の基づき監査を行うこと
・地方自治体のICT監査はICTの適正利用を阻害するリスクに対するコントロールを適切に整備、運用するように助言、勧告するもの
・監査報告書にて被監査部門と意見交換を行う。特に問題の発生原因について本質的な原因を追究、対策提言するものでなければならない。
・大阪市のICT監査のスタンス
―ITガバナンス上の課題に踏み込み、抵抗はあるが再発防止策を提言
―監査委員監査におけるICT監査はシステム監査という手法を活用して、ICTに関わる経営上の課題発見とその改善活動を行うこと
・ここ数年は組織的にICTを管理するしくみ、基本的なリスク管理にとりくんできた。
・新システム管理基準はITガバナンスを定着するEDMモデルや実施すべき主体の明確化がな
されていて、地方自治体で今後活用していくべきものと考える。
講演3、 ブロックチェーン技術とシステム監査 永田氏
Bitcoinシステムを代表とする暗号通貨が社会に浸透し始めており、それを視野に入れたシステム監査が求められる。特にブロックチェーン技術は改ざんが困難であるという特徴をもつため、監査証跡の収集に有効であると予想される。本講演では暗号通貨とそれを実現した技術を概観し、それらの考え方や技術に対応することでより実行性のある監査が実現できることについて論じる。
<講演目次>
1、ブロックチェーン技術
2、ブロックチェーンの特徴
3、ブロックチェーン展開の方向
4、情報の記録とシステム監査
5、通貨、価値交換とシステム監査
6、正しい情報の記録とシステム監査
<講演のポイント>
・ビットコインに代表される暗号通貨(仮想通貨)関連案件についてどう監査していくか
・ブロックチェーンの特徴は5つ
①全ての正しい取引を記録し、消さず、全員で共有する「台帳」を持つ
②鍵で個人情報をコントロールするWalletを個人が保有
③大衆が実力発揮可能な環境の「Github」
④トラストレスでトラストを実現
⑤システムを維持するインセンティブの存在。中心的存在がいないけれども
・監査においてはクラウドサービスの監査と同じ考えでいいのでは
・暗号通貨の活躍場所はプレーヤが多く、支配者がいない場合が適用分野となる
・ブロックチェーンの今後の展開と方向
1)情報の記録システムとしての活用
2)通貨、価値交換のシステムとして活用
3)正しい情報の記録システムとして活用
・上記のそれぞれの観点でシステム監査のあり方を考えていく。
パネルディスカッション パネラー:松枝氏、片岡氏、永田氏、吉田氏、 司会:荒町氏
1、各講演に対する会場からの質問に対する回答
1)講演1 新システム監査基準/管理基準のポイント 松枝氏への質問
質問① 情報システムの定義・範囲が不明確であり、とくに組み込み系のシス
テムが考慮されていないように思われるが
回答① 今回は組み込み系、それに関連するIOT系のシステムについて十分記述できていない。今後、追補版として追加していくべきと考える。
質問② システム管理基準追補版やJSOX制度との関連についてはどう考えるべきか
回答② それらについては、当然排除はしおらず、それらもあわせて活用いただく姿勢である。
2)講演2 地方自治体のICT監査に求められる役割と課題について 片岡氏への質問
質問③ 本質的な原因に迫るほどマネジメントレベルの責任にかかわってきて、現場の抵抗も強くなってくると思われるが、その対処は?
回答③ ICT監査では本質的追究としてマネジメントレベルの責任を追及すべきと考える。本質的原因の課題提起を行い、組織として、所属長としての見解を求め、抵抗が強くても、改善していくのがICT監査のミッションと考える。
質問④ 監査委員、事務局の役職者、スタッフの異動インターバルはどの程度か?異動の時の監査スキルの継承システムはどのようなものか?
回答④ 異動インターバルは他に比べて長く、スタッフでだいたい7~8年である。理由としては専門性を持っていなければできない仕事であるから。異動時は研修制度があり、ICT監査の勉強会も継続的に行っている。
質問⑤ 大阪市のICT監査は吉村市長のICT活用の意向がかなり反映されているのでは?他の自治体でもトップの意向がICT監査の展開に必要なのでは?
回答⑤ ICTに理解のあるトップが必要だと考える。大阪市ではトップの意向により、ICT戦略策定に元ITコンサルの経歴を持つ方が採用されたりしており、推進度合いにかなり影響がある。
3)講演3 ブロックチェーン技術とシステム監査 永田氏への質問
質問⑥ 管理者が不在のシステムでシステム監査を行った結果を誰に報告するのか?
回答⑥ 利用している企業のトップに報告することになる。
質問⑦ ビットコインを扱う取引所への監査として公認会計士やITスペシャリストの利用が予定されているが格付けの確認の利用等などシステム監査人として取り組むべき分野と思われるか?
回答⑦ 私が格付けの必要性を述べたのは例えばビットコインシステムとしての評価のことであり、取引所については過去に事故もあったため、その観点での評価は必要だと思う。
質問⑧ 仮想通貨以外でブロックチェーンのしくみは何に使われていて、監査は行われているか?
回答⑧ 例えば誰が投票したかわからないが、投票の有効性を示す選挙への利用やプレーヤが多い輸出入フロー等に使われているが実験システムであり、システム監査も行われていない。
4)講演者全員への質問
質問⑨ 新たな技術に対応するために日頃から心がけていることは?
回答⑨ 松枝氏:アンテナをつねにはっていくこと
片岡氏:新しい技術に興味をもつこと
永田氏:発想の違う若い人たちと接して自分の基盤をかえる
吉田氏:システム監査人協会の会合に参加してアンテナをはっていただきたい。
2、吉田氏からのコメント
現在、大阪の大学統合を行っているがITガバナンスをどう構築していくかについて、今日のお話は常に参考になった。ブロックチェーンについては海外では卒業証明に使われている話を聞くので今後の大学での対応も必要になってくると考えている。
3、モデレータ荒町氏からの各講演者への質問
1)松枝氏の講演に関する質問
質問⑩ 現在の監査人は従来の基準をベースとして業務を行っているが、それに今回のような新管理基準をどのようにして取り入れていけばいいのか
回答⑩ テーマ、組織に応じて評価基準を個別に作成していってほしい。
今回、新管理基準がカバーできなかった領域は積極的な改訂を行っていきたい。
管理基準は組織にあった必要なところをとりこんでいってほしい。そのための目的別に使いやすい管理基準作成や活用推進を行っていく。
2)片岡氏の講演に関する質問
質問⑪ お話しのあったICT監査専門者育成等で監査人協会のかかわり方は?
回答⑪ ICT監査専門委員は今後、有識者の任命制度を利用して非常勤の有識者の採用、ICT経験者の外部活用を行っていく必要があり、公認システム監査人の活躍の場所だと思う。
3)永田氏の講演に関する質問
質問⑫ ブロックチェーンを使った仮想通貨については一般人は事件もあって不安に思っている。監査人協会としてどうとりくんでいけばいいのか?
回答⑫ 新しい技術が出てきたら、技術を勉強し、先回りして監査基準を作っていくべし
4)元近畿支部支部長の吉田氏への質問
質問⑬ システム監査人協会としてどのようなな場の提供の強化を行っていけばいいか?
回答⑬ 今後のキーワードとなる技術(AI,IOT、RPA等)についての勉強、議論の場の提供
今後のキーポイントとなってくるマイナンバー制度、カード等のセキュリティ問題への対処
システム監査人のフィールド拡大のために社会人の指導等もっと社会に出て行くべき
<所感>
近畿支部の30周年記念シンポジウムとして、約100名の参加をいただき、非常に盛会であった。
講演テーマについても、新管理基準、ICT監査、ブロックチェーン技術への監査対応と統一テーマの
システム監査@ニューフロンティアにふさわしいものばかりで、今後を見据えたシステム監査のあり方、
今後の進んでいく方向性を考えさせられ、非常に有意義であった。
また、パネルディスカッションについても一方通行の講演で終わることなく、会場から、あるいはモデレータから質問に各パネラーが時間をとって、ていねいに答えてくれたことによって、講演内容等の
理解、各講演者が伝えたかったことがより深まったと思い、いい企画であったと考える。
ここで提言された今後のシステム監査人協会のとりくんでいくべき施策について、今後議論を行い、
企画立案を行って着実にとりくんで行きたい。