会議名:日本システム監査人協会九州支部 第169回例会
日時:平成16年8月21日(土) 15:00〜17:00
場所:福岡市早良市民センター 第2会議室
参加者:16名
〔発表事項〕
(1)発表「システム監査基準説明会の報告」
(舩津 宏氏)
経済産業省主催 8月3日開催
資料1.「システム管理基準」
・改訂のポイント
- (1) IT技術の革新への対応
- 情報技術の革新に対応した管理項目の設定
- (2)事業における情報システムの位置づけの変化への対応
- 「ITガバナンス」を意識し、組織運営の観点から情報システムを見直すための要素を追加
- (3)社会に対する説明責任の高まりと保証型監査の必要性
- 保証型のシステム監査の要素を追加
- (4)「情報システム管理の標準」と「監査人の行為規範」の峻別
- 現行「システム監査基準」を「システム管理基準」と「システム監査基準」に分離
- (5)情報セキュリティ監査制度との関係
- 基準の前文や項目に関係整理を明記
・社会に対する説明責任の高まりと保証型監査の必要性
- − 結果責任/説明責任を明確に
- − 助言型から保証型へ
- − 外部目的
- ・保証型:
- @取引先などの利害関係者への説明に利用
A内部統制の整備と運用を経営者に保証
【参考】企業改革法(米国) 302条:
会計報告についての企業の責任
- ・助言型:
- @不備な点(「基準」とのギャップ)についての指摘
- − CIOも責任を負う、この点からITガバナンスの絡みがでてくる
- 【参考】企業改革法(米国) 404条:
マネージメントによる内部統制評価
- (2)発表「システム監査の概要報告」
(舩津 宏氏)
資料1.「c社システム監査の概要報告」
- ・ SAAJの事例研で、システム監査普及サービスの事例報告があったので、その内容を報告した。
・ 対象企業は、金融機関の勘定系システムアウトソーシングを請け負っている情報サービス会社であった。
・ 監査結果は、対象企業より高い評価を得た。
- (3)発表「経済産業分野を対象とする個人情報保護ガイドラインに関する説明会報
告」
(舩津 宏氏)
-
URL:個人情報の保護に関する法律についての経済産業分野を対象としたガイドラインの策定 http://www.meti.go.jp/policy/it_policy/press/0005321/
資料1. 「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン(概要)」
資料2.「よくある質問」
- (4)発表「リスクアセスメントの事例」
(行武 郁博氏)
配布資料 「リスクアセスメント比較」
-
「ISMSユーザーズガイドーリスクマネージメント編ー」と「情報セキュリティポリシーに関するガイドライン」における『リスク分析』と『リスク評価』の比較
- (5)資料紹介「改訂されるシステム監査基準・管理基準の解説」
(中溝 統明氏)
配布資料「第105回月例研究会 改訂されたシステム監査基準・管理基準の解説」
平成16年7月27日
-
・ 「ITガバナンス」等の用語の定義は基準に入れず、ガイドラインなどで別途定める
・ 「EA」の概念は取入れているけれど、「EA」そのものの用語は避けた
・ 「システム監査の目的」は前文の後半に記載されている
・ 情報セキュリティ監査とシステム監査は別ものとして、ダブルサタンダードを作らない。
よって、情報セキュリティ監査との棲み分けを考慮。
また、情報セキュリティは「情報セキュリティ管理基準」を活用する
- (6)資料紹介「深い感性のテクノロジー」
「【映像現場訪問記】東京タワーの地上デジタル放送送信所」
映像情報メディア学会誌 2004年8月号 (秀嶋弘之氏)
以上
|