「システム監査」タグアーカイブ

システム監査の活性化(SAAJ会報 2017.01)

投稿 【 システム監査の活性化 】
                 会員番号0557 仲厚吉 (会長)

 当協会は、システム監査の活性化のためSAAJのビジョン(3年後に目指す姿)に沿って、システム監査を核にした「ITアセスメント」や「ITアセッサ」の普及活動、及び「公認システム監査人」と並ぶ「公認ITアセッサ」の認定に取り組んでいきます。「ITアセスメント」は、「ITガバナンス」や「情報セキュリティガバナンス」の6原則のもと、「EDM」サイクル、即ち、「Evaluate」(評価)、「Direct」(指示)、「Monitor」(モニタ)のサイクルにより、統制が維持・向上されているか評価を行い、経営層に助言し、IT利用者のニーズに応えていく活動です。

 日本ITガバナンス協会は、「ITGI Japan カンファレンス 2016(11月14日、東京コンファレンスセンター品川)」を開催し、当協会は後援団体として協力しています。当カンファレンスは、、(続きを読む) ⇒投稿 【 システム監査の活性化 】

システム監査の効果的活用(saaj会報 2017.01)

めだか 【 システム監査の効果的活用 】

システム監査の効果的活用のため、IT利活用の評価、即ち「ITアセスメント」におけるシステム監査の役割を考えると、システム監査は、ITマネジメントでの「PDCA」サイクルの「Check」、ITガバナンスや情報セキュリティガバナンスでの「EDM」サイクルの「Monitor」、データ収集と分析における「PPDAC」サイクルの「Analysis」への評価などを担っている。

これらのシステム監査の実施に当たっては、システム環境に合わせた管理策(コントロール)の策定が必要になる。
「システム監査基準」と「システム管理基準」は、2004年(平成16年)の発行であり、12年間が経過している。この間、情報社会はシステムに対し、「情報セキュリティ」、「個人情報保護」、「内部統制」、「ITガバナンス」などを求めてきた。このため、システム監査人は、「システム管理基準」をベースに、他の基準などを参考に管理策(コントロール)を見直してきた。

現在は、続きを読む ⇒めだか 【 システム監査の効果的活用 】

SAAJ会報2016年12月号(第189号)を発行しました。

■ SAAJ会報2016年12月号(第189号)を発行しました。

今月のテーマは「システム監査の効果的活用」です。

今年も残すところあと1カ月です。
2017年に向けてシステム監査の活用方法を考えてみませんか?・・・・

SAAJ会報2016年12月号(第189号)の全文は、
SAAJ会報2016年12月号(第189号)
からご覧いただけます。

■ ■ 巻頭言
『会員向けSAAJ活動説明会を開催しました』

会員番号 6027 小野修一(副会長)

活性化委員会では、活性化に資する活動の一環として、10月22日(土)の午後、会員向け活動説明会を開催しました。

委員会メンバの大西理事をリーダに、3か月近くの企画・準備期間をかけて開催に至りました。
SAAJの各研究会等の皆様にもご協力をいただきました。

開催の目的は、SAAJに入会したがなかなか活動に参加するきっかけが掴めず、次第にSAAJから足が遠のいてしまう傾向にある比較的入会して間もない会員の皆様に、SAAJの活動内容を理解していただき、一緒に活動していただく機会を提供するということに置きました。

当日は、20名強の会員が参加されました。当初は関東地区の会員だけを対象に案内を考えていましたが、折角の機会なので、全国の会員に呼びかけようということにしました。

結果として、九州支部の会員の方も参加されました。
参加された皆さんは、SAAJの活動紹介、体験型セミナーに熱心に参加されていました。
また、交流会にも多くの会員が参加され、各研究会等の担当理事と積極的に会話し、SAAJへの関心を高めていただくことができたと思っています。

参加者の方にアンケートをお願いしましたが、こうした会を定期的に開催した方がよいというご意見が大半でした。初めての試みとして成功だったと評価するとともに、こうした地道な活動がSAAJの活性化に繋がるという考えを新たにしました。

めだか 【システム監査の効果的活用】

めだか 【 システム監査の効果的活用 】

マネジメントシステムの「PDCA」サイクルは、業務の改善にPlan-Do-Check-Actの継続的改善のスパイラルを回していこうというものである。システム監査の効果的活用を考える場合、システム監査は、システムの開発、運用に関する業務のPDCAサイクルのなかで、Checkの機能を担っている。

「ITガバナンス」や「情報セキュリティガバナンス」には「6原則」が挙げられている(表1)。6原則を実施し、運用を図るため、「EDM」サイクル、即ち、Evaluate-Direct-Monitorのサイクルが回されていく。「ITガバナンス」のもとで「ITアセスメント」を行う「ITアセッサ」が、ITの利活用や情報セキュリティに取り組むことは、情報社会の中でITの利活用に資する重要な活動である。

ITの利活用が普及していくと、多くのデータが収集されていく。「ITアセスメント」では、収集されたデータが信頼でき安全に有効に使われているかということの評価が求められていく。統計を使った問題の発見から解決までのフレームワークには、「PPDAC」サイクルがある(表2)。「PPDAC」サイクルを研究し、「ITアセスメント」に取り入れていくことを考えていきたい。

続きを読む ⇒めだか 【 システム監査の効果的活用 】

パラダイムシフトと縮退するシステム監査人たち、システム監査の活性化

投稿
【時事論評】パラダイムシフトと縮退するシステム監査人たち
.                                                                                         会員番号 0707 神尾博

1.このパラダイムシフトの本質を押えているか?

数多くのシステム監査人が縮退していないか?そう危惧しているのは私だけだろうか。
バズワードの洪水に踊らされ、そもそも現在のパラダイムシフトの本質さえ整理できていない監査人を、見かける機会が格段に増えた。

IoT/M2M、ビッグデータ、AI(Artificial Intelligence)。
よもやこれら文言を知らないIT業界人は、存在しないだろう。しかし単に字面をなぞるだけで満足してはいないか。まずはその辺から入って、当人たちの自覚を促したい。

なお「パラダイムシフト」の定義は、「その時代や分野において当然のことと考えられていた認識や思想、社会全体の価値観などが革命的にもしくは劇的に変化すること(Wiki)」で話を進める。

まずはIoT/M2M、ビッグデータは一見すると、SEにとっては業務の拡大であるかのように窺える。しかし、従来型SEから淘汰される者の続出も明らかだ。一方で、AIはSEやホワイトカラーにとっての職域縮小の因子と言える。従来よりも人間を凌駕する分野が激増し、人間系と機械系の役割分担が劇的に変化するのである。まさにパラダイムシフトだ。

続きを読む ⇒【 時事論評】パラダイムシフトと縮退するシステム監査人たち

【 システム監査の活性化 】
.                                                                        会員番号0557 仲厚吉 (会長)

当協会の「システム監査活性化委員会(小野修一委員長)」は、システム監査の活性化を図るため、「(2016年度)関東地区主催 会員向けSAAJ活動説明会(2016年10月22日、茅場町)」を開催しました。主に近年入会の会員に参加募集を行い、20名を超える会員の皆様にご参加を頂きました。

開催に当たって、「システム監査」は、情報システムの信頼性、安全性、有効性について、独立した立場から監査し、当該システムの責任者に報告し、あわせて、報告書の公表により、システム責任者の社会的説明責任を果たすことを支援する活動であること、また、2016年度の活動の「トピックス」として、第15期総会(2016年2月22日、機械振興会館)で、下記の「SAAJのビジョン(3年後に目指す姿)」が承認されたことを述べて、ご挨拶と致しました。

●社会の多様な要請に対応し、信頼性・安全性が高くかつ有効なIT活用を実現することを目標として、ITサービスの提供者と利用者双方における適切な統制を維持・向上させる活動を、既存のシステム監査を核にした“ITアセスメント”としてとらえる。そのうえで、SAAJの活動を“ITアセスメント”の定着に焦点を当てて取り組む。
●これにより、会員を含むシステム監査人のビジネス機会の増大を図り、SAAJの知名度向上、会員の拡大に繋げる。

続きを読む ⇒【 システム監査の活性化 】

(2016年度)関東地区主催 会員向けSAAJ活動説明会

イベント報告【(2016年度)関東地区主催 会員向けSAAJ活動説明会】
.                                                                   会員番号 2552 柳田 正 (理事)

関東地区での会員活動(会員同士のコミュニケーションを含む)活性化のための試みとして、関東地区において2013~2016年度に新規ご入会いただいた会員の皆様をメインの対象(※)に、SAAJの各研究会・部会活動にご参加頂けるよう、オリエンテーションを兼ね、交流会を含む「(2016年度)関東地区主催会員向けSAAJ活動説明会」を開催致しました。
※他地区及び2012年以前入会の方にもご参加いただきました。

1.開催日時:2016年10月22日(土) 13:30~19:00 (17:40~交流会)
2.開催場所:NATULUCK茅場町 新館 3階大会議室
3.参加者 :21名(交流会13名) 理事16名
4.プログラム

13:30 開会の辞 (会長挨拶)
13:35 SAAJの研究会及び部会からの活動内容説明
14:30 休憩
14:40 セミナー(1) 事例に学ぶ課題解決セミナー
.               簡易演習「大手銀行の基幹システム障害」
16:20 休憩
16:30 セミナー(2)「個人情報保護マネジメントシステム
.                                         実施ハンドブック出版の経緯」
17:25 閉会 (受講証明書配布・アンケート回収)
17:30 休憩 (会場再セッティング)
17:40 交流会
19:00 終了

続きを読む ⇒(2016年度)関東地区主催 会員向けSAAJ活動説明会

2016年度SAAJ近畿支部 第161回定例研究報告

支部報告
【 2016年度SAAJ近畿支部 第161回定例研究報告 】
会員番号 2520 松本 拓也

1.テーマ 「個人番号カードの多目的利用の課題と展望」
2.講師 近畿大学 経営学部 教授 津田 博 氏
3.開催日時 2016年9月16日(金) 18:30〜20:30
4.開催場所 大阪大学中之島センター 2階 講義室201
5.講演概要
講師は、現在のお立場になられるまでに地方自治体のCIO補佐官等をご経験され、自治体の情報化に関する研究、特に情報システムの効率的な企画、調達、開発、運用についてご研究されてこられた。

今回は講師自身によるアンケート結果をもとに、個人番号カードの多目的利用(「個人番号の利用」ではない)に関する自治体の取組みと課題、今後の展望についてお話しいただいた。個人番号カードに関する行政以外の者による全国的なアンケート調査およびその考察は全国で初めての取組みである。

続きを読む ⇒2016年度SAAJ近畿支部 第161回定例研究報告

SAAJからのお知らせ (SAAJ 2016.12)

■ SAAJからのお知らせ (SAAJ 2016.12)

1.協会からのお知らせ 【 年会費納付時期について 】
                                                       会員番号 1760 斎藤 由紀子(事務局長)

会員各位

いつも、協会活動へのご協力を賜りありがとうございます。
早速ですが、会員規程に従い、2017年度年会費の請求書を、2016年12月1日付で発送いたしますので、ご準備のほどよろしくお願い致します。

【会員規程】 http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf
第3条(会費):会員は、当該年度(1月~12月)の年会費を、請求書に記載された期日までに支払わなければならない。いったん支払われた会費は返却しない。

【2017年度会費請求の内容】
<金額> 正会員個人: ¥10,000- (消費税非課税)
正会員団体:  ¥10,000.- ~ ¥100,000.- (消費税非課税)
<払込期限>2017年2月末日
なお、正会員団体に限り、事業年度予算等の事情による、「納付期限延長願い」をご提出いただくことで、納入期限の延長が可能です。(原則2017年4月末期限。ただし時期についてはご相談ください。)
お申し出先: http://www.saaj.or.jp/toiawase/index.html (事務局)

2.新たに会員になられた方々へ

新しく会員になられたみなさま、
当協会はみなさまを熱烈歓迎しております。
協会の活用方法や各種活動に参加される方法などの一端をご案内します。

・ホームページでは協会活動全般をご案内
http://www.saaj.or.jp/index.html

・会員規程
http://www.saaj.or.jp/gaiyo/kaiin_kitei.pdf

・会員情報の変更方法
http://www.saaj.or.jp/members/henkou.html

・セミナーやイベント等の会員割引や優遇
http://www.saaj.or.jp/nyukai/index.html
公認システム監査人制度における、会員割引制度など。

・各支部・各部会・各研究会等の活動。
http://www.saaj.or.jp/shibu/index.html
皆様の積極的なご参加をお待ちしております。
門戸は広く、見学も大歓迎です。

・皆様からのご意見などの投稿を募集。
ペンネームによる 「めだか」や
実名投稿には多くの方から投稿いただいております。
この会報の 会報編集部からのお知らせ」をご覧ください。

・ 情報システム監査実践マニュアル」
6か月で構築する個人情報保護マネジメントシステム」
などの協会出版物が会員割引価格で購入できます。
http://www.saaj.or.jp/shuppan/index.html

・月例研究会など、セミナー等のお知らせ
http://www.saaj.or.jp/kenkyu/index.html
月例研究会は毎月100名以上参加の活況です。
過去履歴もご覧になれます。

・公認システム監査人へのSTEP-UPを支援します。
公認システム監査人」 と システム監査人補」で構成されています。
監査実務の習得支援や継続教育メニューも豊富です。
CSAサイトで詳細確認ができます。
http://www.saaj.or.jp/csa/index.html

・会報のバックナンバー公開
http://www.saaj.or.jp/members/kaihou_dl.html
電子版では記事への意見、感想、コメントを投稿できます。
会報利用方法もご案内しています。
http://www.saaj.or.jp/members/kaihouinfo.pdf

・お問い合わせページをご利用ください。
http://www.saaj.or.jp/toiawase/index.html
各サイトに連絡先がある場合はそちらでも問い合わせができます。

3.SAAJ行事一覧

(行事一覧、全文を読む)

【SAAJからのお知らせ(2016.12)】

SAAJ会報2016年11月号(第188号)を発行しました。

■ SAAJ会報2016年11月号(第188号)を発行しました。

今月のテーマは「システム監査の効果的活用」です。

システム監査を効果的に活用していくには、どうすればよいのでしょうか?
ちょっと考えてみませんか・・・・

SAAJ会報2016年11月号(第188号)の全文は、
SAAJ会報2016年11月号(第188号)
からご覧いただけます。

■ ■ 巻頭言
『 「つながるシステム」とシステム監査 』

会員番号 608 三谷 慶一郎(副会長)

ITが急速に発展し、コモディティ化していくことによって、新しいサービスを立ち上げ、グローバルに展開することのハードルが低くなってきています。最近よく話に出る、個人宅の空き部屋を貸し出す民泊のマッチングサイト「Airbnb」や、個人の自動車による配車サービスを行う「Uber」等がその典型例です。

このような状況を追いかけていると、複数のシステムがつながって新しいサービスが生まれていることをよく見かけます。例えば、航空会社やレストラン、ホテルのサービスがUberのサービスを取り込むことによって、顧客が自社サービスを予約した瞬間に、自宅から空港まで、レストランまで、ホテルまでの移動について自動的に配車を行うようになっているわけです。

近い将来、様々なサービスが有機的に結合することによって、より高度なサービスがより容易に作りだすことができるようになるでしょう。

とても素敵な未来ではありますが、システム監査人の視点から見るとここにも新しいリスクが出現しそうです。システムとシステムが連携することは、今でも珍しいことではありませんが、そのほとんどが自社内のみか、関係の深いプレイヤー間に閉じたものが多く、様々な独立した主体が保有するシステムを、動的につなげていくことはあまりありません。

複数主体のサービスが融合して構築されたサービスの信頼性はどのように確保すればよいのか、障害時の責任分担はどう考えるのか、主体毎にセキュリティポリシーが異なるときはどのように評価していくべきなのか等、様々な論点がありそうです。

リスクが多様化して広がっていく社会においては、第三者としてそれを評価するシステム監査人の存在意義は増していくに違いありません。是非議論を進めていきましょう。

【システム監査の効果的活用】「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)

めだか 【 システム監査の効果的活用 】

システム監査の効果的活用のため、「ITガバナンス」や「情報セキュリティガバナンス」の6原則のもとITの利活用を評価する「ITアセスメント」を研究することは大きな課題である(表1)。また、独立行政法人情報処理推進機構(IPA)は、「“システム監査技術者試験(AU)”において期待する技術水準」のなかで、ITガバナンスの向上やコンプライアンスの確保に寄与する技術水準を求めている(表2)。

作家の橘玲氏は、“自由で効率的な情報社会の到来は、すべてのひとに自分の得意な分野で評判を獲得する可能性を開いた。・・・だとしたら必要なのは、その評判を収入につなげるちょっとした工夫だ。”と書いている。当協会の会員は、システム監査を核にした活動をしている。
これからは、自由で効率的な情報社会の中で、「ITアセスメント」を行う「ITアセッサ」として大いに「評判」を獲得して、ビジネスにつなげるよう、日々、工夫していくことが大切だと思う。(空心菜)

続きを読む ⇒システム監査の効果的活用

めだか【「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)】

システム監査を効果的に活用するには、どうしたらよいのか? 
これは、システム監査が誕生して以来の永遠の課題かもしれない。

金融業界における監査の歴史を振り返ってみると、これまで「検査から監査へ」「プロダクト監査からプロセス監査へ」など、監査の効果的活用を図るために、監査の手法も高度化してきた。
そうした中、最近金融業界で言われるようになってきたのが、「リスク・フォーカス、フォワード・ルッキングな監査」である。「リスク・フォーカス、フォワード・ルッキングな監査」として言われているのは、以下のような監査スタイルである。 (やじろべえ)

続きを読む ⇒「リスク・フォーカス、フォワード・ルッキング」アプローチ(システム監査の効果的活用)