やさしいIT統制

IT統制２年目にむけての提言は、大変興味深いと思います。
皆さんの会社ではどうでしたか。
なかなか一般のセミナーでは聞けない話だと思います。
日本システム監査人協会の第149回月例研究会の案内です。

「内部統制報告制度におけるＩＴ統制の評価・監査を終えて
〜IT統制の１年目の総括と、２年目に向けた経営者、そして外部監査人に向けての提言〜」のご案内

　８月の月例研究会は１年目を終えた内部統制報告制度をテーマに、１年目の総括と２年目に向けた提言を、あずさ監査法人ＩＴ監査部パートナーの遠藤誠氏にご講演頂きます。

講演の骨子
1. 本制度におけるＩＴ統制の位置づけ
2. 1年目を終えて、何を学んだのか
　　(経営者評価および外部監査人の視点から)
3. 2年目を向けての提案(経営者評価および外部監査人の視点から)

あずさ監査法人でＪ−ＳＯＸの、特にＩＴ統制監査を主導されてきた遠藤氏から、そのご経験を通し１年目の総括と２年目に向けた提言を具体的にお話し頂きます。

今月も多くの皆様のご参加をお待ちしています。

１．テーマ
「内部統制報告制度におけるＩＴ統制の評価・監査を終えて
〜IT統制の１年目の総括と、２年目に向けた経営者、そして外部監査人に向けての提言〜」

2. 日時 　2009年8月31日（月）　18時30分〜20時30分
3. 場所 　御茶ノ水　総評会館
　　　　　千代田区 神田駿河台　3-2-11　電話：03-3253-1771（代）
　　　　　→　総評会館の地図はこちら　
　　　　　　（地下鉄千代田線　新御茶ノ水 Ｂ３直結、または
　　　　　　　ＪＲ御茶ノ水駅　聖橋出口5分）
4. 講師 　あずさ監査法人　ＩＴ監査部パートナー　
日本システム監査人協会理事 　遠藤　誠　氏
5. 会　費 　SAAJ会員 2,000円　非会員 3,000円
6. 参加申込 当協会のＨＰ（http://www.saaj.or.jp/）から
　　　　　　2009年8月27日（木）までにお申込み下さい。

正確な情報をタイムリーに伝達すると言う意味で、

今回の水際作戦では、
連絡先を記入する申告書が配布され、
分類され、居住地の保健所に送付される
という作業が行われているようでした。

外国からの旅行者ならともかく、
パスポートが電磁的にチェックされるようになったのに、
利用目的が違うから、
追跡調査には再利用できないのかと、
事務の効率の観点から不思議に思う部分もあります。


外国での感染拡大の様子では、

いよいよ、
水際の次への対策が必要な時期がやってきます。

鳥インフルエンザのときは、渡り鳥が、
新型インフルエンザ、
さらに次世代新型インフルエンザは人が

保菌者として移動することで、
感染者を増やしていくのでしょう。

黄砂のように風がもたらすかもしれないし、
台風やハリケーンのような大型の異常気象とともに
もたらされるかもしれません。


日本の人口密集の状況で、
どのように拡大を防ぐか、
知恵を出しましょう。

一連の新型ウイルスへの対応では、
WHO（国際保健機構）を筆頭に、
いまや発見された感染者が最も多い米国を中心とする国家の保健機関が、
連携した対応を実現している。
（組織力、指揮系統はうらやましいですね）

見えない相手に対して、
新型のウイルスが世界中に拡散してしまうことを、
どうすれば軽減でき、防げるかと、
関係者の日夜の奮闘には、賞賛のメッセージを記録しておきます。

日本でも、空港で検疫を強化して、
「水際作戦」は、短期的に動向把握できる成果はあっても、
症状が表れる前の潜伏期の感染者は、見逃してしまうリスクは避けられない。

次の対策、恒久的な感染症の拡散防止対策を
今のうちから準備しておく必要があります。

一方で、
コンピュータとネットワーク、サーバ等に長期間潜んでいる
コンピュータウイルスに対しては、ほとんど手出しができていない実態がある。

1995年にインターネットを経由して感染を広げるタイプの
新型コンピュータウイルスが登場して、
コンピュータウイルス、インターネットウイルスに対する、
必要な対処の方法が変わりました。

しかしながら、人間の対応は変わっていないので、
最近では、ボットというタイプの、
対策が不十分な場合には、悪意のない人までも巻き込んでしまう、
強烈なウイルスへの感染が広がっている状況です。

特に、
無関心症候群、
無責任症候群（責任転嫁症候群）、
人任せ症候群、
クレーム症候群、
くれくれ症候群、
などと合併症状を起こしてしまうと、
本人だけでなく、組織に影響を及ぼしてしまいます。

外部からの攻撃ばかりが話題となりますが、
実態は、やるべきことをやらない、
基礎知識も訓練も受けずに、
PCという（使い方を間違えると凶器となる）機器を利用している。

物理的環境的に考えると、人への伝染感染はないのですが、
論理的に考えると、いつの間にか影響を受けている。

ストレスという精神や心理上のプレッシャが、
感染者と同じような行動を引き起こしている。

コンピュータウイルスは、人に感染して、
悪意・善意の利用者を巻き込んでいるのも、似ています。

コンピュータウイルスへの感染では、
保健所、厚生労働省、国立衛生研究所などに相当する機関は、
助けてくれません。
自分で傷口を捨て去るが、自力で回復するかしかありません。

周りに専門家がいて、
状況を診断してくれる、助けてくれる、
そのような環境にいたら、
本当にラッキーです。

私たちは、
外部のうわさや、トラブルの情報を傍観者的に観察しているのではなく、
もっと身の回りの安全性、利用者としてのエチケットを
再確認する必要があります。

迷惑メールは減らないし、
不愉快な勧誘電話、
悪質なネットワークを利用した詐欺、
うそや裏づけのない宣伝広告、
など犯罪まがいの行為は増える一方です。


だまされないためには、
自分自身のスキルアップ、心の研鑽が必要です。

ITを使いこなしている、と思っている人でも、
技術環境は、大分、変化（進歩）しています。
自分は大丈夫、という人も意外と弱い面があるのです。

これからのＩＴ統制は、
新種の迷惑メールがなぜ起こるのか、
という現象から突き止めていかないと、間に合わない。

すべてのコンピュータが、麻痺してしまう事態も
想定できるのではないでしょうか。

自分自身を守るにせよ、同僚や部下を支援するにしても、
迷惑メールには困ったものです。

その迷惑メールにも、流れ（トレンド）があるようです。
最近のトレンドを把握していますか。
発信者（悪意をしかける側）は、よく学習しています。

一般に私たち自身よりも、私たちを攻撃してくる攻撃者のほうが、
その標的を観察し、よく研究しているのです。

ウイルスを仕掛けるにしても、
セキュリティホールを突くにしても、
ゼロデイアタックや速攻は効果（被害への影響）が高いですね。

例えば、迷惑メールのタイトル、発信人の表示を見ると、
情報管理についてのトレンドを垣間見ることができます。

大型連休前までは、サラ金系、銀行の名前をかたったローン
を勧誘する迷惑メールが多かったのですが、
連休が始まると一変しています。

新型インフルエンザの影響でしょうか。

外国から発信される英語の迷惑メールには、相変わらず、
・ブランド物（多分、偽ブランドでしょう）
・学位が買えます
・ドラッグ、薬の通信販売
が多いのですが、
・インフルエンザもの（私のところにも着ました。培養中です）
が少々というところです。

日本語の迷惑メールをためているメールボックスを見ると、
最近増えているのが、女性の名前を表示した「出会い系」迷惑メール。

・主婦サークル
・地元の交際倶楽部
・その他、個人名のもの

このほとんど（全てではないところが悩ましい）が、
迷惑メールです。

昨年１２月の特定メール禁止法の改訂で、
「相手の了解を得ない、一方的なメールの送りつけ」は
禁止されたはずなのに、減らないどころか増えています。


派遣の仕事を解約されて、
仕事を変えた方もいらっしゃるのかも知れませんが、
この種のメールは、ばっさり、ゴミ箱です。

このような作業に時間をとられること、
業務用の重要なメールが紛れてしまうこと、
これは重要なセキュリティ上の課題です。

通信の履歴をさかのぼることで、メールプロバイダは、
発信源を特定できるはずなので、できるだけ「迷惑メールの受信報告」を
続けていますが、フィルタの学習効果もなかなかあがりません。

メールアドレスは、どの程度信用できるかわかりませんが、
乱数のような文字列のものも増えています。
これは意図的で悪質な発信者です。

不適切なメールの大量発信として、
早く発信者や組織を摘発してもらいたいものです。

これまでにも、
迷惑メールフィルタの設定、
メールアドレスを変更するなどして対応してきましたが、
皆さんはいかがですか。

自分のＰＣ環境は、自衛するしかありません。
自衛できなかったら、ストレスどころでは済まなくなります。

あなたの同僚、部下も
同じようなことで悩んでいるかも知れませんね。

このような集中力をそぎ取るひとつひとつの出来事が、
事件事故につながるリスクを包んでいます。

・面倒だ
・うるさい
・またか
・しまった
・あれっ
・やっちゃった
・そんな馬鹿な

担当者や管理者が集中力を失うと、
不注意によるミスが多発して、内部統制の仕組みは乱れます。

最近は、いろいろな情報が手にいりますが、
ビジネス、マーケティング、経営管理の用語の意味を調べるときに、
正しい定義や関連解説が欲しい場合は、多いのです。

インターネットを利用した情報検索、主要なニュースは、
検索エンジンや時事サイト、ブログの情報量はすごいの一言。
情報に敏感な多くの方が、最新情報を提供されています。

そこで、耳寄りな情報。
「知恵蔵」「大辞泉」など、約43万語収録の用語解説サイト
が、無料で提供されるようになりました。

これで、辞書を引く機会も減ります。
従来の検索エンジンでは、複数をたどらないと、
目的の内容までたどり着けない場合があったのですが、

用語解説サイト「kotobank（コトバンク）」
　http://kotobank.jp/

これで、十分でしょう。
ＩＴ、マーケティング関連の用語も含まれています。

あと、外国語との機械翻訳の精度が高まるといい。


■kotobank（コトバンク） http://kotobank.jp/
は、次の会社が協力して提供するサービスです。

・朝日新聞社のWebサイト http://www.asahi.com/
・朝日新聞出版のWebサイト http://publications.asahi.com/
・講談社のWebサイト http://www.kodansha.co.jp/
・小学館のWebサイト http://www.shogakukan.co.jp/
・ECナビのWebサイト http://ecnavi.co.jp/

以上

ＩＴ統制の情報管理は時間管理がキーであるとすれば、
どうすれば見えない時間も見えるようになるでしょうか？

注文していた本が届きました。

見えない時間を見るために、
ちょっと工夫してみたのですが、トリックが見えますか？

書籍名：「見えない時間」で稼ぎなさい！
価格　：１４７０円
出版社：フォレスト出版
キャンペーンの魅力度：★★★★★

本の内容
・銀座の一等地シャネルビルの隣のビルで4社の会社を経営、
・コピーライター
・中小企業診断士
・詩人(ベストセラーの詩集を持つ)
・経営コンサルタント
・読者3万人超の人気メルマガ「格闘詩」を毎日発行
・ゴルフのメンタルコーチ(ゴルフの腕も超一流で毎朝練習)

さらに毎日、
2つのブログ更新するなど、とてつもない量の仕事をこなしている、
これらの業務量をこなす社長の「潜在時間」管理手法が公開されています。

4月21日（火）〜4月27日（月）の期間中、
アマゾンキャンペーン実施中です。

特典も魅了的ですので、
詳細は、次へアクセスして
　⇒　アマゾンキャンペーン活用法
　　http://amzcmp.seesaa.net/article/117880639.html

今のうちに手続するよう、お勧めします。

時間管理術を学ぶと、一生お得、かも知れません。

冒頭の回答もわかります。
　⇒　アマゾンキャンペーン活用法
　　http://amzcmp.seesaa.net/article/117880639.html

もし、今日の午後、

「こちらは税務署です。」

という電話がかかって来たら、

１．仕事の相談かな
２．「さぁ大変」

あなたはどちらでしょうか。

IT統制の記事に関心を持つあなたは、
会社員かも知れません。

でも、
確定申告の経験はありませんか。

私は今年、e-TAXに挑戦しました。
なかなか、手ごわいツールでした。

でも、だいぶ仕掛けがわかるようになりました。

確定申告が終って、
ほっとしていると、

とくに、
副業でネットビジネスをしているのであれば要注意！

ワークシェアリングどころか、
会社を辞める事になるかもしれません・・・。

副業をみとめる会社も増えましたが、
法令違反は認めません。


アフィリエイト、
情報起業、
オークション

等で稼いでいるネットビジネス家、

および
ＦＸなどのネットトレーダーは必見です。

あなたが毎月使う携帯電話の通話料金程で、

ネットに強い税理士を顧問にする方法があります。

その秘密をお教え致しましょう。

あなたはこれにより、
最近話題の抜き打ち税務調査の脅威から
守られるだけではなく、
確定申告、節税など、
税に関するすべての苦しみから解放されるのです。

まずは、税理士による【無料コンサルティング】をお試しください！

当然、「無料」相談です。

３末から４月を迎え、３月決算の企業では、
いよいよIT統制の本番スタートという時期を迎えます。

内部統制整備の一番の作業量は、IT統制の前提となる業務処理統制、
業務処理統制の遅れによるIT統制の駆け込み対応、という流れで、
対応される皆さんの負荷も増大している時期ではないでしょうか。

この2008年4月という時期が、いよいよです。

もともと、IT部門というのは、
多くの企業にとって、製造技術や営業などの事業部門と比べると
うまくいって当たり前の、縁の下の力持ちでした。

１）売り上げの集計（月次決算に加え、年度末決算）
　・・年次集計表や報告書（売り上げ・経理報告＋財務諸表）
２）組織や商品の原価、販売価格などの更新
　・・各種マスターデータ、統制手続の更新
３）人事異動（退職者、新入者、異動者）
　・・アクセス権の切り替えなど、IT統制手続の更新
など、業務統制、IT統制に関係する管理業務も増え、
コンピュータを稼動させる時間も増えます。

数年前の大事件のように、企業の合併、吸収などで、
基本となる情報システムの変更を必要とする場合には、
慎重な対応が必要ですね。

従来は、表舞台で活躍する機会も少なかったわけですが、
ITへの依存度が高くなるにつれて、責任が先行し、重くなっています。

いづれの場合も、うまく行って当たり前。

でも、どのような状態がうまくいっているかの判断や、、
そうでない場合（例外対応や緊急事態）には、どうするか、
経営者が予め経営ルールとして決めておく、
判断手順を決めるなど、まだまだ不十分な部分が多いのも実態です。

IT統制の整備に関与された皆さんには、
是非、企業組織にとって有効なIT活用の方法は、
いかにあるべきかを常に考えていただきたい、と願います。

これから運用、および監査が始まります。

「IT統制に関する実態調査」について昨日紹介したのですが、
比較に必要な一部の情報が洩れていたので、追加して再掲します。

IT 統制に関する実態調査（JIPDEC）の2008年3月版が公開されている。
JIPDECでは、一昨年の2007年にも同様の調査を行っており、
この１年間の推移が確認できるのが興味深い。

１．「IT統制に関する実態調査」 単純集計結果 2007年3月　　　　　　　　http://www.jipdec.or.jp/chosa/it_riyou/img/kekka.pdf

２．「IT統制に関する実態調査｣【実態調査】
　　　および【成熟度調査】2008年3月
　　　　http://www.jipdec.jp/chosa/it_riyou/02.pdf

一覧すると、平成19年調査の実施期間は、平成19年10月〜12月にかけて、
上場企業3,925社の情報システム部門に対して行なわれている。
また、情報サービス事業者638社の営業部門、内部統制担当部門に対しても同様に実施されている。

結論から言うと、
・いよいよ来月から本番開始の企業が多いと思われるのに、
　ほぼ実施と一部実施が拮抗している。
　ということは、多くの企業では、実質、間に合わないので、
　2008年4月以降、毎日の業務実践のなかで、内部統制の整備状況につい　て運用しながらモニタリングを継続することになりそう。
・経済産業省の「システム管理基準追補版」が、遅れて登場したにもか　かわらず、広く認知され、整備運用に活用されている。

など、米国から紹介された手法やツールに翻弄されているかに思われる時期もあったが、現実的な対応をしている様子が伺える。

また、昨年H18年の調査資料と比較しても、試行錯誤して対応している様子が伺えるので、是非、一読されることをお勧めします。
（いつもの資料と異なり、フォントは小さめですが、全体のページ数は少ないので、簡単に読めます）

資料は、次のJIPDECサイトからダウンロードできます。
調査概要　http://www.jipdec.jp/chosa/it_riyou/gaiyo.html
(1)
｢IT統制に関する実態調査｣【実態調査】および
(2)｢IT統制に関する実態調査｣【成熟度調査】
　http://www.jipdec.jp/chosa/it_riyou/02.pdf

(3)｢内部統制ビジネスの実態調査｣
　http://www.jipdec.jp/chosa/it_riyou/03.pdf

(4)｢顧客からの内部統制要請に関する実態調査｣
　http://www.jipdec.jp/chosa/it_riyou/04.pdf