2012年の4月になり、多くの企業では3末決算の確定作業に忙しいころでしょう。
同時に、新事業年度について、業績回復のため、
事業分野、事業計画、事業の進め方など、
多くのテーマに取り組んでおられることと推察いたします。
合併や事業の統廃合には、また、販売製造、物流など、業務の変更には、
情報システムの見直しや変更は欠かせません。
これらの分野では、システムトラブルを防ぐためにも、また
発生した事故の早期復旧のためにも、システム監査は重要な役割を果たします。
しかし、情報システムやネットビジネス分野での活用だけでなく、
活用していただきたい分野があります。
それは、業務の仕組みの見直し です。
システム監査は、コンピュータシステムの開発や運用だけでなく、
多くの担当者がコンピュータを使って仕事をしている、
その仕組みの見直しをする仕掛けでもあります。
システム監査に必要な技術経験
システム監査は法定監査ではありません。したがって誰でもシステム監査を実施することは可能ですが、それなりの技術経験がないと実際に評価することは困難です。
経済産業省の情報処理技術者試験には、最難関のレベルにシステム監査技術者の試験制度が運用されています。さらに経済産業省の指導をうけて運用されている「公認システム監査人」制度は、ペーパー試験の合格者である「システム監査技術者」に対して、所定の実務経験と継続研修を求める精度です。
これだけ技術革新の激しい分野で監査を行う場合には当然のことと考えられます。「公認システム監査人」制度は、NPO法人日本システム監査人協会が運用しています。
監査人の豊富な経験を持っていること、所定の技術を有していること、さらに、相手が理解できるように説明できることが大切です。
監査の独立性
客観的、公平な監査を行うためには、「独立性」の確認が必須です。監査を実施する場合には、監査を受ける組織(企業)から独立した第三者が監査を担当することで、組織上の独立性を確保します。また、監査を除く業務上の取引関係がないこと、さらに担当する監査人は、直近の3年程度は、社員や構成員の関係でないことで、人的な利害関係が無いことを確認しています。
特定の情報システムの開発や運用状況を監査する場合に、特定のハード、ソフトの開発ベンダとの取引関係がある場合には、独立性が保たれていると説明することが苦しくなります。どのITベンダ、会計監査法人にも帰属していないと、安心してシステム監査業務を依頼できます。
今日、IT環境の飛躍的な発展によって、情報通信システムは企業経営に深く密接に浸透し、経営にITは必要不可欠となりました。第四の経営資源と言われるわけです。
第三の波、第四の波
一方で高度情報化時代の今、社会のインフラとなる鉄道運輸業、金融業界等の情報システムにおいて、コンピュータトラブルやネットワーク障害が頻繁に起き、社会生活に多大な影響を与えるトラブルが数えきれなく発生しています。
また、大規模地震の発生や自然災害を目の当たりにして、事業継続への備えも不可欠であることを実感しています。
一部のハイテク企業だけでなく、一般企業においても同様で、システム障害は企業業績に多大な影響と機会損失を与えるわけです。
今後、この第三の波に続く、第四の波に乗れるか、事業の経営においては大きな課題です。
システム監査の見直し
この数年、情報セキュリティの確保が重要な経営課題とされてきましたが、その屋台骨をささえる、情報システムの信頼性、安全性および有効かつ効率的な開発・運用の評価を目的とする『システム監査』が多くの企業で見直しされ、実施されつつあります。
金融商品取引法による「内部統制システム」の義務付けは、情報システムにおける財務報告に係る信頼性の確保を重要とする顕著な表れです。
また、直近の刑法改正(2011.6)により、コンピュータの正常な動作に悪意を加える行為が処罰されるようになりました。これまで不明瞭とされていたコンピュータやネットワークを利用したサイバー犯罪についてこれから急速に整備されるでしょう。
このような流れの中で、LLP日本公認システム監査人の専門家がご支援できる範囲は、創設当時の基本と変わりませんが、情報システムの範囲は、企業内のサーバやPCを利用した業務から、ネットワークを活用した関連事業へと範囲が広がっています。
基幹となる支援業務
1.情報システムの信頼性・安全性・有効かつ効率性の評価およびコンサルティング
2.情報セキュリティマネジメントシステムの構築および評価のコンサルティング
3.情報セキュリティマネジメント標準のISO27001(ISMS)認証取得コンサルティング
4.内部統制のIT統制に関する整備・運用・評価等コンサルティング
(2011.8.1更新)
【 システム監査の豊富な実績 】当LLPを構成する組合員が参加した監査実績を紹介いたします。監査の性格上、守秘義務に基づいて活動しますので、内容についてお伝えできないことが残念です。
1)システム監査分野
・金融・証券業(金融庁、およびFISCガイドラインに基づく監査)
・製造業(経産省システム監査基準に基づく監査)
・SIサービス業(経産省システム監査基準に基づく監査)
など、多数。
2)情報セキュリティ分野
・金融・証券業(ISO27001、FISCガイドラインに基づく監査)
・製造業(ISO27001、経産省セキュリティ監査基準に基づく監査)
・SIサービス業(ISO27001、経産省セキュリティ監査基準に基づく監査)
など、多数。
・金融・証券業(JISQ15001に基づく監査)
・製造業(JISQ15001に基づく監査)
・SIサービス業(JISQ15001に基づく監査)
など、多数。
3)内部統制分野
・製造業(米国SOX法に基づく監査)
・商社(米国SOX法に基づく監査)
・金融商品取引法、経産省システム管理基準追補版に基づく監査、など多数。
4)人材育成、初任者・専門家・管理職研修
・システム監査人実務研修(公開コース、研修講師)
・内部統制(IT統制)研修(公開コース、研修講師)
・ISO審査員養成(公開コース、研修講師)
・目標達成、モチベーション(公開コース、研修講師)
日本公認システム監査人有限責任事業組合(CSAJ)のご紹介
有限責任事業組合(LLP)は、
創造的連携共同事業や新規創業の促進を目指す経済産業省により、高度サービス産業や産学連携、企業同士の共同研究開発、ITや金融の専門人材による共同事業等の利用を想定して法整備された、事業体として契約主体となれる事業組合組織です。
日本公認システム監査人有限責任事業組合(LLP)は、
6名の公認システム監査人(CSA)を発起人として、主としてシステム監査サービスを提供する事業組合として発足しました。
・有限責任事業組合(LLP)制度の創設について(経済産業省)
今日、IT環境の飛躍的な発展によって、情報通信システムは企業経営に深く密接に浸透し、経営にITは必要不可欠となりました。第四の経営資源と言われる所以でもあります。
一方で高度情報化時代の今、社会のインフラとなる鉄道運輸業、金融業界等の情報システムにおいて、コンピュータトラブルやネットワーク障害が頻繁に起き、社会生活に多大な影響を与えるトラブルが数え切れなく発生しています。このことは一般企業においても同様で、システム障害は企業業績に多大な影響と機会損失を与えています。今後、企業経営においては、大きな課題となるものと推測されます。
ここに近年、情報セキュリティの確保を含め、情報システムの信頼性、安全性および有効かつ効率的な開発・運用の評価を目的とする『システム監査』が多くの企業で注目され、実施されつつあります。
金融商品取引法による「内部統制システム」の義務付けは、情報システムにおける財務報告に係る信頼性の確保を重要とする顕著な表れです。
日本公認システム監査人有限責任事業組合は、時代の要請に応えてシステム監査のプロフェショナルである公認システム監査人(注1)により組織されるプロ集団です。当LLP日本公認システム監査人は、一般に公正妥当な基準に基づき情報システムの調査・診断、評価等を行います。
(注1)公認システム監査人とは、システム監査の社会的普及を目指す「NPO日本システム監査人協会」が認定するシステム監査人資格で、同協会は20年の歴史と1000名強のシステム監査技術者や公認会計士、中小企業診断士等の専門家で運営される。
(ご参考)システム監査関連の一般に公正妥当な基準とは、以下を言う。
①経済産業省:「システム監査基準」および「システム管理基準」
②日本工業規格:JIS Q27001:2006(ISO/IEC27001:2005)一般要求基準および付属書A
(同じ内容の、経済産業省「情報セキュリティ管理基準」)
③金融庁企業会計審議会:「財務報告に係る内部統制の評価及び監査の基準」(内部統制)
(2009年、当LLP発足時に作成)
LLP日本公認システム監査人は、このような時にお役に立てます。
【 情報システムの信頼性・安全性・有効性および効率性を評価する 】
1.情報システムに投資を行いたいが、何に投資すれば良いのか、
どのような順番で組み合わせるといいか、良く分からない?
2.情報システムを開発したが、本当に効果が出ているのか良く分からない?
3.既存の情報システムについて、有効でかつ全体最適となっているかどうか
調査して欲しい。
4.既存の情報システムについて、信頼性・安全性・有効性&効率性の観点から
評価をして欲しい。
ちょっと固い表現ですが、せっかく購入したソフト・ハードがもと利益に貢献するには、
どのように見直し、手直しすればいいか、診断するわけです。
【 個人情報保護法への対応 】
1.個人情報保護法に対応したいのだが、やり方が分からないので教えて欲しい。
2.わが社に保護しないといけない個人情報はあるのか、指導して欲しい?
3.プライバシーマークを取得したいのだが、どうして良いのか分からない?
4.(社長の気持ち)プライバシーマークを取得したのだが、本当に安全なのか心配だ!!
個人情報保護法という法律、さらにJISQ15001にもとづくプライバシーマークを取得、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。
【 情報セキュリティ監査による情報セキュリティの強化 】
1.情報セキュリティが心配だが、何からどのように手を付ければよいのか分からない?
2.情報セキュリティの監査を実施したいが、内容や方法が良く分からない?
3.情報セキュリティの監査を行いたいが、わが社には人材がいないので支援して欲しい。
4.(社長の気持ち)情報セキュリティ対策を実施しているが、これで本当に大丈夫なのか心配だ !!
不正競争防止法、刑法と整備がすすむコンピュータ犯罪、サイバー関連の犯罪に巻き込まれないよう、加担しないよう体制整備は必要です。
さらにISO/IEC27001などの認証を取得、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。
【 内部統制システム構築支援、内部評価、プレ監査等のコンサルティング】
1.わが社は具体的にどこまでリスクとコントロールを評価すれば良いのか分からない?
2.内部統制に係る内部監査の内容や方法が良く分からないので、教えて欲しい。
3.社内には、内部統制の監査要員がいないので内部監査を代行して欲しい。
4.IT統制についての対応方法が分からないので指導して欲しい。
5.(社長の気持ち)内部統制報告書にサインをせねばならないのだが、これで問題ないのか?
金融商品取引法、会社法、さらに金融機関であれば金融庁のガイドに基づく体制整備と運用は必要です。リスクへ対応し、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。
システム監査人の広場、サイトを統合してリニューアルしました。
このサイトでは、
1.システム監査人、個人の成長を支援します
2.システム監査の普及活動に注力している、NPO法人日本システム監査人協会と
連携して、システム監査を必要としている、また実施する組織を支援します。
3.システム監査を受託して、経営改革を支援します。
このため、
1.システム監査
2.内部監査、業務監査、内部統制監査
3.情報セキュリティ監査
4.個人情報保護監査
などに関する、情報を発信します。
また、監査人の中には、
1.ネットビジネスの監査
2.オフショア開発の監査
3.携帯、動画、スマートフォン利用の監査
4.医療情報システムの監査
など、新しい分野での監査を通じて、新しい技術サービスの健全な発展に
寄与する動きもあるので紹介します。
サイトのリニューアルに伴い、以前の文書、資料の見直しを行い、リンクきれなどを解消しました。まだ見直し中の部分もあります。
さらに、動画による説明を増やし、携帯電話、スマートフォンでも閲覧できるよう、整備中です。
