「めだか2016」カテゴリーアーカイブ

めだか 【システム監査の効果的活用】

めだか 【 システム監査の効果的活用 】

マネジメントシステムの「PDCA」サイクルは、業務の改善にPlan-Do-Check-Actの継続的改善のスパイラルを回していこうというものである。システム監査の効果的活用を考える場合、システム監査は、システムの開発、運用に関する業務のPDCAサイクルのなかで、Checkの機能を担っている。

「ITガバナンス」や「情報セキュリティガバナンス」には「6原則」が挙げられている(表1)。6原則を実施し、運用を図るため、「EDM」サイクル、即ち、Evaluate-Direct-Monitorのサイクルが回されていく。「ITガバナンス」のもとで「ITアセスメント」を行う「ITアセッサ」が、ITの利活用や情報セキュリティに取り組むことは、情報社会の中でITの利活用に資する重要な活動である。

ITの利活用が普及していくと、多くのデータが収集されていく。「ITアセスメント」では、収集されたデータが信頼でき安全に有効に使われているかということの評価が求められていく。統計を使った問題の発見から解決までのフレームワークには、「PPDAC」サイクルがある(表2)。「PPDAC」サイクルを研究し、「ITアセスメント」に取り入れていくことを考えていきたい。

続きを読む ⇒めだか 【 システム監査の効果的活用 】

【システム監査の効果的活用】「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)

めだか 【 システム監査の効果的活用 】

システム監査の効果的活用のため、「ITガバナンス」や「情報セキュリティガバナンス」の6原則のもとITの利活用を評価する「ITアセスメント」を研究することは大きな課題である(表1)。また、独立行政法人情報処理推進機構(IPA)は、「“システム監査技術者試験(AU)”において期待する技術水準」のなかで、ITガバナンスの向上やコンプライアンスの確保に寄与する技術水準を求めている(表2)。

作家の橘玲氏は、“自由で効率的な情報社会の到来は、すべてのひとに自分の得意な分野で評判を獲得する可能性を開いた。・・・だとしたら必要なのは、その評判を収入につなげるちょっとした工夫だ。”と書いている。当協会の会員は、システム監査を核にした活動をしている。
これからは、自由で効率的な情報社会の中で、「ITアセスメント」を行う「ITアセッサ」として大いに「評判」を獲得して、ビジネスにつなげるよう、日々、工夫していくことが大切だと思う。(空心菜)

続きを読む ⇒システム監査の効果的活用

めだか【「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)】

システム監査を効果的に活用するには、どうしたらよいのか? 
これは、システム監査が誕生して以来の永遠の課題かもしれない。

金融業界における監査の歴史を振り返ってみると、これまで「検査から監査へ」「プロダクト監査からプロセス監査へ」など、監査の効果的活用を図るために、監査の手法も高度化してきた。
そうした中、最近金融業界で言われるようになってきたのが、「リスク・フォーカス、フォワード・ルッキングな監査」である。「リスク・フォーカス、フォワード・ルッキングな監査」として言われているのは、以下のような監査スタイルである。 (やじろべえ)

続きを読む ⇒「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)

システム監査への期待

めだか システム監査への期待

 各企業では、活性化のため、ガバナンスの向上が進められている。2014年、金融庁は、機関投資家が投資先との間で対話を行い、経営を評価して、役員選任などを適正に行うように「スチュワードシップ・コード」を導入した。
 2015年、東京証券取引所は、「コーポレートガバナンス・コード」を制定し、東証1部2部上場会社に対し、複数の独立取締役を確保することを要請するとともに、経営トップや役員に関し報酬基準、選任基準、具体的決定理由などの事項について開示を要請した。

 システム監査人は、ITや情報セキュリティに係るガバナンスに照らして、情報システムのリスクへのコントロールが適切かを監査し、マネジメントに報告することを職務としている。
 世の中の議論は下記(1)(2)(3)のように激しいものがあるが、システム監査人は、これらを心得つつ、ガバナンスや倫理規定のもとに、その職務を誠実に行い、システム監査への期待に応えていくことが大切であると思う。

続きを読む ⇒システム監査への期待

システム監査への期待 (saaj会報2016.09)

■めだか

システム監査への期待

システム監査人は、ITに関わる経営責任、戦略性、調達、有効性、準拠性、人間行動の課題や、サイバーセキュリティの課題を洗い出して経営層に助言するなどを行って、システム監査への期待に応えていきたい。

「ITガバナンス(JIS Q38500:2015)」の6原則は、ITに関わる①責任、②戦略、③調達、④パフォーマンス、⑤コンフォーマンス、⑥人間行動である。

また、「情報セキュリティガバナンス(JIS Q27014:2015)」の6原則は、①組織全体の情報セキュリティを確立する、②リスクに基づく取組みを採用する、③投資決定の方向性を設定する、④内部及び外部の要求事項との適合性を確実にする、⑤セキュリティに積極的な環境を醸成する、⑥事業の結果に関するパフォーマンスをレビューするである。

対象が「IT」あるいは「情報セキュリティ」かの違いはあるが、システム監査の観点で、それぞれの6原則は同様の原則である。

続きを読む ⇒システム監査への期待

システム監査への期待(めだか SAAJ会報)

■めだか

システム監査への期待

会報7月号では、IoTとは「つながる」インフラストラクチャであるということからシステム監査の多様性について考えてみた。
そうしたところ、英国では、国民投票の過半数によりEUから「離脱」するよう決まったことでキャメロン首相が想定外の結果を受け辞任表明、また、スコットランドがEUに「残留」するため英国から独立する動きが始まったことや、株価の下落、ポンド安、円高などの状況が報じられている。

英国では、若い層は、「残留」に、高齢層は、「離脱」に投票したという。

情報学最前線という市民講座を受講し、インターネットで目的サイトに到着するのに、到着までのサイト数は、4.74であると、解析されたと聞いて驚いた。

世界は、英国のEU離脱騒ぎのように、政治、経済、宗教など、あちこちで異文化がぶつかりあって、たいそう広いと思うが、サイバー空間は、あっという間にサーバ同士がつながるスモールワールドで、悪意のある人間も多く、例えば、戦後の闇市を思わせる。

コンピュータが汎用機の時代、プログラマーは、システムエンジニアの設計のとおりコーディングする職種を言っていたが、IoTの時代、プログラマーは、アルゴリズムを考案し、プログラムを自由自在に書く能力のある人を言っていて、今は、官民を挙げて優秀なプログラマーを育成しようとしている。

続きを読む ⇒システム監査への期待

システム監査の多様性(会報2016.07)

■めだか

【 システム監査の多様性 】

 第213回月例研究会は「IoTって何?~IoTによるイノベーションとその課題~」というテーマの楽しい講演だった。
ISO/IEC JTC1では、IoT(Internet of Things)は、“an infrastructure of interconnected objects, people, systems and information resources together with intelligent services to allow them to process information of the physical and the virtual world and react.”と定義されている。
簡単にいえば、IoTとは、「つながる」インフラストラクチャというわけである。

講演の中で、Industry 4.0 Reference Architecture が参考に紹介されている。
これは、ドイツで主唱されている第4の産業革命を、時間軸、空間軸、及びビジネスの層別で表現したものである。
第1の産業革命のキーワードは「蒸気機関」、第2の産業革命は「電気」、第3の産業革命は「電子」、そして第4の産業革命は「IoT」といえる。
これもまた、「つながる」工場というような言葉が使われている。

続きを読む ⇒【システム監査の多様性】

【 システム監査の多様性 】【 ネットがもたらす犯罪の未来―監査高度化はその備えとして十分か 】

■めだか

【 システム監査の多様性 】

 システム監査の多様性への議論は、助言型か保証型かというシステム監査の類型の多様性、もしくは対象とするシステムの変化に応じた多様性に分かれると思う。

 システム監査は、組織体の経営方針の実現に貢献するため、情報システムの「安全性」「有効性」「効率性」及び報告情報の「信頼性」、並びに「法令順守」の維持・改善を図るものであるが、もともと、情報システムと同様、米国からきている。

 5月のはじめに大阪で催事があって、その前日に京都の北山駅前にある「京都府立 陶板名画の庭」を訪問した。安藤忠雄氏設計の施設入口からスロープを降りていくと、四囲の壁面全体が滝になっており、流水に包まれた静寂な空間が構築されている。

「鳥獣人物戯画」、「清明上河図」をはじめ、システィナ礼拝堂のミケランジェロ作「最後の審判」やミラノのダビンチ作「最後の晩餐」などの世界の名画が、大型画像陶板の技術により再現され、静寂のなかでゆっくりと鑑賞できた。

続きを読む ⇒【システム監査の多様性】

【ネットがもたらす犯罪の未来―監査高度化はその備えとして十分か】

 モノのインターネット化(IoT)の進展で、様々なツールがネットで相互に繋がるようになり、そのもとで膨大なデータ処理やネットワークを通じた交信ができるようになったら…スマホやタブレットといった携帯端末、さらにウェアラブルコンピューティングは既に本格普及の段階を迎えつつあります。

 そこには様々なアプリが使われ、便利な機能の陰で、裏から他者から操作性される危険に知らず知らずに晒されています。
 ソーシャルネットワーキングの利用は、個人のプライバシーを相互に開示する結果を招き、他の情報と突合すれば、本人の様々な個人情報を収集することができます。

 またビッグデータの収集、ワトソン(IBM社)やAIによるディープラーニングにより、人間の意図をはるかに超えた様々な知見が得られるようになり、ロボットによる機能支援や自動車などの自動運転ももはや夢物語ではなくなってきています。

続きを読む ⇒【 ネットがもたらす犯罪の未来―監査高度化はその備えとして十分か 】

システム監査の多様性

■めだか

【 システム監査の多様性 】

 情報化社会という言葉は、今や、IT(Information Technology)社会という言葉に変化している。 
 情報システムは多様化し、ビジネスでの利用から広くコンシューマーが利用する IoT(Internet of Things)、すなわちモノのインターネットと称されるシステムになってきている。
 「多様性」とは、様々な変化の結果であるが、考えてみると、もっと大きな変化の時代があったことが思い出される。

 3 月に 札幌を旅行する機会があり、北海道大学のキャンパスを訪問した。いうまでもなく、札幌農学校を前身とする大学である。「武士道(Bushido-the soul of Japan)」を 1900 年に著した新渡戸稲造博士が、札幌農学校で学んでいたことはよく知られている。

 当時の日本は、西洋文明の荒波にもまれる船のような存在であったと思う。

続きを読む ⇒【システム監査の多様性】

【 テクノロジーのトップ 10 リスク(システム監査の多様性)】

 FinTech、IoT、ビッグデータ、サイバーセキュリティ等々、IT 技術の進展・利用拡大に伴い、組織が 抱えるリスクも多様化してきている。
 こうした様々なリスクにシステム監査は、どのように対応していけばよいのだろうか。そうしたことをいろいろと考えていると、出口の見えない迷路に入っていくような気がしていた。

 だが、最近読んだ『月刊監査研究』(日本内部監査協会)に掲載されたレポート(注)が、多様化したリ スクに対するシステム監査人としての対応について考えるヒントになったので、ここでご紹介する。

続きを読む ⇒【テクノロジーのトップ 10 リスク(システム監査の多様性)】

システム監査の課題

■ めだか システム監査の課題

「改正労働安全衛生法によるストレスチェック制度」が 2015 年 12 月から施行されている。
労働者の心理的な負担の程度を把握するための検査(ストレスチェック)の実施を義務付ける制度である。

ストレスチェック制度は、単に検査を実施するだけでなく、ストレスが高い状態の労働者に対する措置の実施や職場環境の改善につなげることで、メンタルヘルスの不調を未然に防止するための仕組みである。
「労働安全衛生法」第 66 条の 10(心理的な負担の程度を把握するための検査等)では、事業者に、検査および医師による面接指導の実施等を義務付けている

 ⇒めだかの詳細を見る システム監査の課題

システム監査の課題

めだか【 システム監査の課題 】

システム監査の大きな課題のひとつは、システム監査の技法が情報技術(IT)の進歩にどのように追随し、IT の
健全性を監査していくことができるかということであると思う。
この課題を考えるため、情報技術(IT)は、技術(Technology)のひとつであるため、先ず、技術(Technology)とは何であるかを考えてみた。
参考資料1によれば、他の動物に比べて人類を人類らしくした技術(Technology)は、6 つの発明からなるという。

続きを読む ⇒【 システム監査の課題 】