2014 Fiscal Year Annual Research Report
クラウド・コンピューティングに対するオフサイト型連続監査モデルの構築
| Project/Area Number |
24530576
|
|---|
| Research Institution | Nihon University |
|---|
Principal Investigator |
堀江 正之 日本大学, 商学部, 教授 (70173630)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | クラウド・コンピューティング / オフサイト監査 / 連続的モニタリング / 連続的アシュアランス / マチュリティ・モデル / 自己評価(CSA) / リスク評価 / 外部委託管理 |
|---|
| Outline of Annual Research Achievements |
本研究の目的は、企業が財務データ等の処理を、クラウドサービスを提供する外部事業者に委託している場合に、委託元内部監査人及び外部監査人が活用できる「オフサイト型オンデマンド監査手法」の概念モデルを構築することにある。
平成24年度は、クラウド事業者、内部監査人、外部監査人に対するヒアリング調査を通じて、現実的な課題の抽出を行った。その結果、①委託元内部監査人としては、クラウドベンダーのセキュリティ対策の状況評価にさまざまな工夫を試みているものの、形式的チェックにとどまっており、踏み込んだ評価が行えていない現状、また②クラウドベンダーとしてもISMS等の認証評価は広く使っていてもさらに踏み込んだ保証サービスの利用まで進む傾向がみられないことなどの実態が浮かび上がってきた。この現状については、その原因等を含めて整理を行った。平成25年度は、課題となっている原因を細かく分析して、その克服となり得るように、クラウドベンダーにおけるリスク評価を自動化し、リスクに対応するコントロールの状況をオフサイトでモニタリングできる概念モデルの構築を行った。
平成26年度は、上記の概念モデルの精緻化と実務への適用可能性の検討にあてた。概念モデルの精緻化では、特にリスクとコントロールとのマッチングを視覚化できる方法の工夫にはある程度の成功を収めることができたが、自己評価をベースとしたモニタリングモデルをアシュアランスモデルと接合するための概念モデルについては、先例がないこともあり、十分な検証ができなかった。また、実務への適用可能性の検討でも、自己評価をベースとしたモニタリングモデルについてはさまざまな実務上の改善提案を得ることができたが、アシュアランスモデルとの接合モデルの適用可能性については、あまりに壮大なモデルでもあったため、そもそも十分な理解を得ることが難しかった。
|
