システム監査についての 学びと今後の課題 @tunemage

自己紹介 • つねまげ（@tunemage） • 現職（1年半） • 製造業の社内SE （会社の主な事業は受託解析・試験等） • 社内基幹システムの開発・運用 • 昨年、スクラッチ開発の新規社内基幹システムをローンチ • 外部パッケージの導入 • IoT的な機材管理の検討なども • 前職（6年） • ERPパッケージ開発 • それ以前 • Webやスマートフォンアプリなど

本日のテーマ •システム監査についての所感 • 現時点での問題意識

ある日こんな指摘が • XXX機能がない • 運用管理のマニュアルがない • ログやバックアップのルールは明文化してる？ • システム開発の全体計画がない

正直めんどくさい、、でも • やらされ仕事はつまらない • いい歳して「あいつらは現場を分かってないー」などと愚痴だけ 言うのはダサい • せっかくだしちょっと勉強してみよう

まずは言葉を収集 • COSO・COBIT・J-SOX法・内部統制・コーポレートガバナンス・ IT監査・システム監査・会社法・ISO27000シリーズ・ISO9000シ リーズ・プライバシーマーク・IPO・CAATs・システム監査基準・ 監査役・ISACA・監査役監査・内部監査・リスクアプローチ・IT全 般統制・全社的なIT統制・業務処理統制etc • ネット・書籍・社内資料などを参照に

自分達の立ち位置を把握 監査依頼者 監査対象 監査人 雇用契約 監査依頼契約 直接の利害関係はない

やるべきことを整理 統制の種類 • IT業務処理統制 • 締め処理 • 承認フロー etc • IT全般統制 • ログルール • バック&アップリカバリルール • 障害管理ルール etc • IT全社的統制 • 業務分掌の明文化 • 開発計画 etc 実際にやること • マニュアル作成 • 計画の作成 • 不足機能の設計・実装 • 各種ツールやサービスの設定の見 直し ※金融庁企業会計審議会『財務報告に係る内部統制の評価及び監査に関する実施基準』より

実際にやった事 • 利用しているクラウドサービス（AWS・GCP）の監査基準対応 状況の調査 • 基幹システムへの機能追加 まだまだ先は長い、、、

現在の問題意識 • ぶっちゃけ誰も読んでない？ • ルールの根拠となったルールはマニュアルからは抜け落ちる • 監査される側が、現場のルールとマニュアルとの乖離に気づける仕組みが 弱い • 監査のためだけのマニュアルは本末転倒 • 技術的に解決できないか？ • 個々人の心がけだけでなくツールや仕組みで解決したい。 • マニュアルと現場の仕事をシームレスに繋げる仕組みがほしい

まとめと所感 • 監査も自分ごととして • こういうのも主体的に取り組めるのがコーポレートエンジニアのやり がい • 過剰なルールには知識でロジカルに対応したい • 例）「このシステムはAWSを利用しています。AWSはISO27001の認 証を取得しています。そのため、物理レイヤについては特別な対応は 不要です」 • マニュアル管理を仕組み化していきたい • マニュアルと現場をシームレスに繋げる仕組みを検討したい

参考文献 • 「よくわかるシステム監査の実務解説(第3版)」（同文舘出版） • 「グローバル実務がわかる IT監査の基礎と応用（中央経済 社） • 「 ALL IN ONE パーフェクトマスター システム監査技術者 2020年度」（TAC） • 「学習する組織」（英治出版） • 本来は、監査業務も面倒な事務仕事ではなく会社を良くするための物 のはず。 • 本書のシステム思考についての知見は全体感をもって考えるヒントに なりそう