「LLP日本公認システム監査人」カテゴリーアーカイブ

LLP日本公認システム監査人が発信する情報です

システム監査に必要な技術経験

システム監査に必要な技術経験
システム監査は法定監査ではありません。したがって誰でもシステム監査を実施することは可能ですが、それなりの技術経験がないと実際に評価することは困難です。

 経済産業省の情報処理技術者試験には、最難関のレベルにシステム監査技術者の試験制度が運用されています。さらに経済産業省の指導をうけて運用されている「公認システム監査人」制度は、ペーパー試験の合格者である「システム監査技術者」に対して、所定の実務経験と継続研修を求める精度です。

 これだけ技術革新の激しい分野で監査を行う場合には当然のことと考えられます。「公認システム監査人」制度は、NPO法人日本システム監査人協会が運用しています。

監査人の豊富な経験を持っていること、所定の技術を有していること、さらに、相手が理解できるように説明できることが大切です。

監査の独立性

監査の独立性
客観的、公平な監査を行うためには、「独立性」の確認が必須です。監査を実施する場合には、監査を受ける組織(企業)から独立した第三者が監査を担当することで、組織上の独立性を確保します。また、監査を除く業務上の取引関係がないこと、さらに担当する監査人は、直近の3年程度は、社員や構成員の関係でないことで、人的な利害関係が無いことを確認しています。
特定の情報システムの開発や運用状況を監査する場合に、特定のハード、ソフトの開発ベンダとの取引関係がある場合には、独立性が保たれていると説明することが苦しくなります。どのITベンダ、会計監査法人にも帰属していないと、安心してシステム監査業務を依頼できます。

LLP日本公認システム監査人がお役に立てること

今日、IT環境の飛躍的な発展によって、情報通信システムは企業経営に深く密接に浸透し、経営にITは必要不可欠となりました。第四の経営資源と言われるわけです。

第三の波、第四の波 
 一方で高度情報化時代の今、社会のインフラとなる鉄道運輸業、金融業界等の情報システムにおいて、コンピュータトラブルやネットワーク障害が頻繁に起き、社会生活に多大な影響を与えるトラブルが数えきれなく発生しています。
 また、大規模地震の発生や自然災害を目の当たりにして、事業継続への備えも不可欠であることを実感しています。
 一部のハイテク企業だけでなく、一般企業においても同様で、システム障害は企業業績に多大な影響と機会損失を与えるわけです。
 今後、この第三の波に続く、第四の波に乗れるか、事業の経営においては大きな課題です。

システム監査の見直し 
 この数年、情報セキュリティの確保が重要な経営課題とされてきましたが、その屋台骨をささえる、情報システムの信頼性、安全性および有効かつ効率的な開発・運用の評価を目的とする『システム監査』が多くの企業で見直しされ、実施されつつあります。

 金融商品取引法による「内部統制システム」の義務付けは、情報システムにおける財務報告に係る信頼性の確保を重要とする顕著な表れです。
 また、直近の刑法改正(2011.6)により、コンピュータの正常な動作に悪意を加える行為が処罰されるようになりました。これまで不明瞭とされていたコンピュータやネットワークを利用したサイバー犯罪についてこれから急速に整備されるでしょう。

 このような流れの中で、LLP日本公認システム監査人の専門家がご支援できる範囲は、創設当時の基本と変わりませんが、情報システムの範囲は、企業内のサーバやPCを利用した業務から、ネットワークを活用した関連事業へと範囲が広がっています。

基幹となる支援業務
1.情報システムの信頼性・安全性・有効かつ効率性の評価およびコンサルティング
2.情報セキュリティマネジメントシステムの構築および評価のコンサルティング
3.情報セキュリティマネジメント標準のISO27001(ISMS)認証取得コンサルティング
4.内部統制のIT統制に関する整備・運用・評価等コンサルティング

(2011.8.1更新)

LLP日本公認システム監査人の業務実績

【 システム監査の豊富な実績 】当LLPを構成する組合員が参加した監査実績を紹介いたします。監査の性格上、守秘義務に基づいて活動しますので、内容についてお伝えできないことが残念です。

1)システム監査分野
  ・金融・証券業(金融庁、およびFISCガイドラインに基づく監査)
  ・製造業(経産省システム監査基準に基づく監査)
  ・SIサービス業(経産省システム監査基準に基づく監査)
  など、多数。

2)情報セキュリティ分野
  ・金融・証券業(ISO27001、FISCガイドラインに基づく監査)
  ・製造業(ISO27001、経産省セキュリティ監査基準に基づく監査)
  ・SIサービス業(ISO27001、経産省セキュリティ監査基準に基づく監査)
  など、多数。

  ・金融・証券業(JISQ15001に基づく監査)
  ・製造業(JISQ15001に基づく監査)
  ・SIサービス業(JISQ15001に基づく監査)
  など、多数。

3)内部統制分野
  ・製造業(米国SOX法に基づく監査)
  ・商社(米国SOX法に基づく監査)
  ・金融商品取引法、経産省システム管理基準追補版に基づく監査、など多数。

4)人材育成、初任者・専門家・管理職研修
  ・システム監査人実務研修(公開コース、研修講師)
  ・内部統制(IT統制)研修(公開コース、研修講師)
  ・ISO審査員養成(公開コース、研修講師)
  ・目標達成、モチベーション(公開コース、研修講師)

LLP日本公認システム監査人の活用方法

LLP日本公認システム監査人は、このような時にお役に立てます。

【 情報システムの信頼性・安全性・有効性および効率性を評価する 】

1.情報システムに投資を行いたいが、何に投資すれば良いのか、
  どのような順番で組み合わせるといいか、良く分からない?
2.情報システムを開発したが、本当に効果が出ているのか良く分からない?
3.既存の情報システムについて、有効でかつ全体最適となっているかどうか
  調査して欲しい。
4.既存の情報システムについて、信頼性・安全性・有効性&効率性の観点から
  評価をして欲しい。

ちょっと固い表現ですが、せっかく購入したソフト・ハードがもと利益に貢献するには、
どのように見直し、手直しすればいいか、診断するわけです。

【 個人情報保護法への対応 】  

1.個人情報保護法に対応したいのだが、やり方が分からないので教えて欲しい。
2.わが社に保護しないといけない個人情報はあるのか、指導して欲しい?
3.プライバシーマークを取得したいのだが、どうして良いのか分からない?
4.(社長の気持ち)プライバシーマークを取得したのだが、本当に安全なのか心配だ!!

個人情報保護法という法律、さらにJISQ15001にもとづくプライバシーマークを取得、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。

【 情報セキュリティ監査による情報セキュリティの強化 】  
1.情報セキュリティが心配だが、何からどのように手を付ければよいのか分からない?
2.情報セキュリティの監査を実施したいが、内容や方法が良く分からない?
3.情報セキュリティの監査を行いたいが、わが社には人材がいないので支援して欲しい。
4.(社長の気持ち)情報セキュリティ対策を実施しているが、これで本当に大丈夫なのか心配だ !!

不正競争防止法、刑法と整備がすすむコンピュータ犯罪、サイバー関連の犯罪に巻き込まれないよう、加担しないよう体制整備は必要です。
さらにISO/IEC27001などの認証を取得、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。

【 内部統制システム構築支援、内部評価、プレ監査等のコンサルティング】  
1.わが社は具体的にどこまでリスクとコントロールを評価すれば良いのか分からない?
2.内部統制に係る内部監査の内容や方法が良く分からないので、教えて欲しい。
3.社内には、内部統制の監査要員がいないので内部監査を代行して欲しい。
4.IT統制についての対応方法が分からないので指導して欲しい。
5.(社長の気持ち)内部統制報告書にサインをせねばならないのだが、これで問題ないのか?

金融商品取引法、会社法、さらに金融機関であれば金融庁のガイドに基づく体制整備と運用は必要です。リスクへ対応し、運用するために、事業の規模や社員の習熟度に合わせた活動方法をアドバイスします。