2015 Fiscal Year Research-status Report
情報システムの信頼性に対する外部保証及び内部保証連携モデルの構築
Project/Area Number |
15K03786
|
Research Institution | Nihon University |
Principal Investigator |
堀江 正之 日本大学, 商学部, 教授 (70173630)
|
Project Period (FY) |
2015-04-01 – 2018-03-31
|
Keywords | 保証マーク / 認証マーク / 保証サービス / 内部主体保証 / 外部主体保証 / 補完型・補強型連携モデル / 品質管理型連携モデル |
Outline of Annual Research Achievements |
本研究の目的は、連続的モニタリングの手法を応用することで、情報システムの信頼性に対する保証(assurance)を有効かつ効率的に行うため、これまでばらばらに行われていた外部主体による保証サービスと内部監査部門等による保証職能の「連携モデル」を構築することにある。 現在、組織の外部主体による情報システムの保証サービスは、大別して、認証ないしは認定として提供されているいわゆる「保証マーク付与サービス」(プライバシーマーク認定など)と、監査法人等が提供している「内部統制の信頼性保証サービス」(受託業務のセキュリティ等に係る内部統制の保証など)がある。一方、組織の内部主体が組織内のセキュリティ対策等に対して保証を付与するというケースはきわめて少ないものの、内部監査としてのシステム監査として実施されているケースもある。 本研究を通じて、外部主体による各種保証サービス(認証・認定サービスを含む)をつぶさに検討してみると、内部監査の実施を組み込んでいる場合とそうでない場合がある。内部監査の実施を組み込んでいる場合は、実態として、内部監査としての保証職能を求めるというよりも、むしろ内部監査をもってPDCAサイクルの一環に位置づけ、改善すべき事項を洗い出して是正措置につなげ、外部主体による保証をより確実にするといった利用がなされている。そこで、これは内部主体保証が外部主体保証を補完・補強する「補完型・補強型連携モデル」として構築することができる。あわせて外部主体保証のプロセスで内部主体保証の実施状況を確認するといういわば「品質管理型連携モデル」の在り方も考えられる。 将来的に、内部保証における連続的モニタリングが普及してくれば、「補完型・補強型連携」と「品質管理型連携」の同時達成を狙ったモデル構築が可能となるし、保証の有効性と効率性を高めるためには、そのような連携モデルこそが必要である。
|
Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
平成27年度の主たる研究内容は、外部主体による保証を網羅的に抽出し、かつそれらを分類・類型化するとともに、内部主体による保証として内部監査部門等によって実施されているセキュリティシステム監査の実態把握にあった。 前者の外部主体保証については、分類・類型化はそれほど難しい作業でなかったことから、予定通り実施することができた。しかし、後者の内部主体保証については、保証職能となると内部監査の外部委託として行われているケースもあり、かつ、内部監査部門が実施している場合であっても、保証の意味をさまざまに理解し、運用している実態も明らかとなった。この点は当初の研究計画段階においてある程度予想していたことではあるが、限られた対象範囲のヒアリングではあっても予想以上にばらつきが大きく、また連続的モニタリングを導入している事例はあったものの、保証職能としての活用がなかったことも明らかになった。その意味で、実態把握という点では初期の目的と計画を達成しているが、実態に基づくモデル構築という点で今後難しい課題となることが予想される。
|
Strategy for Future Research Activity |
本研究は、連続的モニタリングの手法を応用した外部主体保証と内部主体保証についての理論的な連携モデルの構築にあり、換言すれば、今後の監査保証領域におけるITの進展を視野にいれた概念モデルの構築が直接的な目的となっている。 とはいえ、現在までの進捗状況においてもふれたとおり、内部主体保証の実態を調査してみたところ、保証職能の発揮を予定していたとしても、実態が保証といえるものとなっていなかったり、実態として外部委託が利用されていたりして、実態面が予想よりもかなり遅れていることが判明した。連続的モニタリングの手法の導入についても同様のことがいえることが明かとなった。 そこで、今後の研究においては、とりわけ内部主体保証について、さらに実態面の分析を詳細に行いつつ、連携モデルの実務面への適用可能性については十分な注意を払う必要性を感じている。また、連続的モニタリングについては、現在のところ、保証職能としての活用はなくとも、十分に保証職能として展開できる素地はあることから、この点については実態と離れても大きな問題は生じないと判断している。 これらの点を十分に踏まえた上で、平成28年度においては、予定通り、外部主体保証と内部主体保証の連携パターンの洗い出しを行い、できれば最終年度に向けた予備的な作業として、代表的な連携パターンについて、プロトタイプとなるような理論モデルの構想まで進めてゆきたいと考えている。
|
Causes of Carryover |
次年度使用に回す金額が生じたのは、今年度の研究活動においては、ヒアリングを除けば、Webや文献等を中心とした予備的調査に多くの時間を回さざるをえなくなり、本研究課題に関連するシンポジウム参加をキャンセルせざるをえなくなったためである。
|
Expenditure Plan for Carryover Budget |
次年度使用額については、今年度、日本監査研究学会での報告を予定していることから、学会参加費として利用する予定である。
|
Research Products
(1 results)