システム監査についての学びと今後の課題 / learning-about-system-auditing

2647c8254f698fc5e6933d77b851d337?s=47 tunemage
February 21, 2020

システム監査についての学びと今後の課題 / learning-about-system-auditing

【大阪開催 2/21】corp-engr × JosysBar × 情スシの会(https://corp-engr.connpass.com/event/163272/)のLT枠で登壇させていただきました

業務の中でシステム監査について関わる機会がありました。
その時の所感と問題意識を発表しました。

監査についての網羅的な知識などは書かれていない(書けない)ため、ご興味ある方は参考文献などをあたって下さい。
また他の会社の方の取り組みについてもお聞きしたいです。

2647c8254f698fc5e6933d77b851d337?s=128

tunemage

February 21, 2020
Tweet

Transcript

  1. 2.

    自己紹介 • つねまげ(@tunemage) • 現職(1年半) • 製造業の社内SE (会社の主な事業は受託解析・試験等) • 社内基幹システムの開発・運用

    • 昨年、スクラッチ開発の新規社内基幹システムをローンチ • 外部パッケージの導入 • IoT的な機材管理の検討なども • 前職(6年) • ERPパッケージ開発 • それ以前 • Webやスマートフォンアプリなど
  2. 8.

    やるべきことを整理 統制の種類 • IT業務処理統制 • 締め処理 • 承認フロー etc •

    IT全般統制 • ログルール • バック&アップリカバリルール • 障害管理ルール etc • IT全社的統制 • 業務分掌の明文化 • 開発計画 etc 実際にやること • マニュアル作成 • 計画の作成 • 不足機能の設計・実装 • 各種ツールやサービスの設定の見 直し ※金融庁企業会計審議会『財務報告に係る内部統制の評価及び監査に関する実施基準』より
  3. 10.

    現在の問題意識 • ぶっちゃけ誰も読んでない? • ルールの根拠となったルールはマニュアルからは抜け落ちる • 監査される側が、現場のルールとマニュアルとの乖離に気づける仕組みが 弱い • 監査のためだけのマニュアルは本末転倒

    • 技術的に解決できないか? • 個々人の心がけだけでなくツールや仕組みで解決したい。 • マニュアルと現場の仕事をシームレスに繋げる仕組みがほしい
  4. 11.

    まとめと所感 • 監査も自分ごととして • こういうのも主体的に取り組めるのがコーポレートエンジニアのやり がい • 過剰なルールには知識でロジカルに対応したい • 例)「このシステムはAWSを利用しています。AWSはISO27001の認

    証を取得しています。そのため、物理レイヤについては特別な対応は 不要です」 • マニュアル管理を仕組み化していきたい • マニュアルと現場をシームレスに繋げる仕組みを検討したい
  5. 12.

    参考文献 • 「よくわかるシステム監査の実務解説(第3版)」(同文舘出版) • 「グローバル実務がわかる IT監査の基礎と応用(中央経済 社) • 「 ALL

    IN ONE パーフェクトマスター システム監査技術者 2020年度」(TAC) • 「学習する組織」(英治出版) • 本来は、監査業務も面倒な事務仕事ではなく会社を良くするための物 のはず。 • 本書のシステム思考についての知見は全体感をもって考えるヒントに なりそう