【大阪開催 2/21】corp-engr × JosysBar × 情スシの会(https://corp-engr.connpass.com/event/163272/)のLT枠で登壇させていただきました。
業務の中でシステム監査について関わる機会がありました。 その時の所感と問題意識を発表しました。
監査についての網羅的な知識などは書かれていない(書けない)ため、ご興味ある方は参考文献などをあたって下さい。 また他の会社の方の取り組みについてもお聞きしたいです。
システム監査についての学びと今後の課題@tunemage
View Slide
自己紹介• つねまげ(@tunemage)• 現職(1年半)• 製造業の社内SE (会社の主な事業は受託解析・試験等)• 社内基幹システムの開発・運用• 昨年、スクラッチ開発の新規社内基幹システムをローンチ• 外部パッケージの導入• IoT的な機材管理の検討なども• 前職(6年)• ERPパッケージ開発• それ以前• Webやスマートフォンアプリなど
本日のテーマ•システム監査についての所感• 現時点での問題意識
ある日こんな指摘が• XXX機能がない• 運用管理のマニュアルがない• ログやバックアップのルールは明文化してる?• システム開発の全体計画がない
正直めんどくさい、、でも• やらされ仕事はつまらない• いい歳して「あいつらは現場を分かってないー」などと愚痴だけ言うのはダサい• せっかくだしちょっと勉強してみよう
まずは言葉を収集• COSO・COBIT・J-SOX法・内部統制・コーポレートガバナンス・IT監査・システム監査・会社法・ISO27000シリーズ・ISO9000シリーズ・プライバシーマーク・IPO・CAATs・システム監査基準・監査役・ISACA・監査役監査・内部監査・リスクアプローチ・IT全般統制・全社的なIT統制・業務処理統制etc• ネット・書籍・社内資料などを参照に
自分達の立ち位置を把握監査依頼者監査対象監査人雇用契約監査依頼契約直接の利害関係はない
やるべきことを整理統制の種類• IT業務処理統制• 締め処理• 承認フロー etc• IT全般統制• ログルール• バック&アップリカバリルール• 障害管理ルール etc• IT全社的統制• 業務分掌の明文化• 開発計画 etc実際にやること• マニュアル作成• 計画の作成• 不足機能の設計・実装• 各種ツールやサービスの設定の見直し※金融庁企業会計審議会『財務報告に係る内部統制の評価及び監査に関する実施基準』より
実際にやった事• 利用しているクラウドサービス(AWS・GCP)の監査基準対応状況の調査• 基幹システムへの機能追加まだまだ先は長い、、、
現在の問題意識• ぶっちゃけ誰も読んでない?• ルールの根拠となったルールはマニュアルからは抜け落ちる• 監査される側が、現場のルールとマニュアルとの乖離に気づける仕組みが弱い• 監査のためだけのマニュアルは本末転倒• 技術的に解決できないか?• 個々人の心がけだけでなくツールや仕組みで解決したい。• マニュアルと現場の仕事をシームレスに繋げる仕組みがほしい
まとめと所感• 監査も自分ごととして• こういうのも主体的に取り組めるのがコーポレートエンジニアのやりがい• 過剰なルールには知識でロジカルに対応したい• 例)「このシステムはAWSを利用しています。AWSはISO27001の認証を取得しています。そのため、物理レイヤについては特別な対応は不要です」• マニュアル管理を仕組み化していきたい• マニュアルと現場をシームレスに繋げる仕組みを検討したい
参考文献• 「よくわかるシステム監査の実務解説(第3版)」(同文舘出版)• 「グローバル実務がわかる IT監査の基礎と応用(中央経済社)• 「 ALL IN ONE パーフェクトマスター システム監査技術者2020年度」(TAC)• 「学習する組織」(英治出版)• 本来は、監査業務も面倒な事務仕事ではなく会社を良くするための物のはず。• 本書のシステム思考についての知見は全体感をもって考えるヒントになりそう