Comments
Transcript
別紙 Ⅰ.システム監査企業概要 企 業 名 ( フ リ ガ ナ ) ユウゲンセキニンカンサ
別紙 Ⅰ.システム監査企業概要 企 業 ( フ リ ガ ナ ) ユウゲンセキニンカンサホウジン トーマツ 有限責任監査法人トーマツ 名 代 表 者 氏 名 所 在 包括代表 天野 太道 〒 108-6221 東 京 都 港 区 港 南 地 2-15-3 品川インターシティC棟 設 立 年 月 日 資 本 814百万円 最近3年間の売上高 (会計期間10月~9月) 平成23年度 81,624百万円 種 業 員 所在地 属 数 備 団 エンタープライズリスクサービス 電話番号 03-6213-1112 5,855人(うち、上記部門従業員数 http://www.tohmatsu.com/jp/ers 606人) 日本公認会計士協会、日本内部監査協会、金融情報システムセン ター、情報ネットワーク法学会、システム監査学会、デジタル・ フォレンジック研究会、日本情報システム・ユーザ協会、日本セ キュリティ監査協会 体 考 平成25年度 83,872百万円 〒100-0005 東京都千代田区丸の内3-3-1新東京ビル 担当部課 ホームページURL 所 平成24年度 82,443百万円 監査法人 システム監査 行う部門の連絡先 従 電話番号 03-6720-8200 昭和43年5月8日 金 業 略称(ヨミガナ) トーマツ トーマツ 欄 Ⅱ.システム監査の概要 1.システム監査実施の実績 ①システム監査開始年 昭和56年 ②実施回数 企業内 7回(うち前年度回数 企業外 18,680回(うち前年度回数 合 18,687回 計 ③主な監査内容 実 施 年 月 日 対象企業 ~ H25年2月28日 監 査 テ ー マ - 【システム開発プロジェクトに関する監査】 システム再構築に伴うシステム監査として、システム開 発プロジェクト運営状況およびIT統制整備状況を評価し た。 - 【共同系システムに関するシステム監査】 共同利用型システムの利用サービス業務に係る監査・保 証実務委員会実務指針第86号「受託業務に係る内部統制 の保証報告書」に基づく内部統制の整備及び運用状況に 関する検証サービスを実施した。 − 【システムリスク管理態勢監査】 (大阪府) H24年4月1日 ~ H25年3月31日 銀行 H25年1月15日 金融機関外部委託 2,036回) 実施者名 H24年12月1日 化学工業 0回) (西日本) ~ H25年3月31日 金融庁の定める「金融検査マニュアル」の検査項目とな っているシステムリスク管理態勢に関連して、情報セキ ュリティを評価項目に含めた監査を実施した。 先 (愛知県) H24年9月12日 ~ H24年11月15日 【クラウドサービス・コロケーションサービスを対象と 通信業 (東京都) H24年8月13日 ~ H24年11月30日 情報システム業 (関東) − − したSSAE16検証業務】 クラウドサービス及びコロケーションサービスに係る運 用受託業務について、米国保証業務基準書第16号基づく 内部統制の整備及び運用状況に関する検証サービスを実 施した。 【ベンダー選定プロセスの妥当性評価】 システム開発時のベンダー選定に係るプロセスの妥当性 に関する評価を実施した。 ④前年度のシステム監査内容(主なもの5件以内) 対象企業名、資本金 及び実施月日 監 査 概 要 1銀行業(東京都)・監査対象・テーマ 【システム統合リスク管理態勢の第三者機関評価】 金融庁の定める「金融検査マニュアル」の検査項目となっているシステム統合 (資本金-千万円) リスク管理態勢の監査を実施した。 ・実施者名 (H25年4月1日~ H26年4月30日) - 2 サ ー ビ ス 業 ( 関 ・監査対象・テーマ 【SSAE16に基づく内部統制のデザイン及び運用状況の検証】 東) 保 険 書 類 電 子 化 処 理 受 託 業 務 に 対 す る 米 国 保 証 業 務 基 準 書 第 16号 基 づ く 内 部 統 制の整備及び運用状況に関する検証サービスを実施した。 (資本金-千万円) (H25年8月1日~ H26年3月31日) 3銀行業(九州) ・実施者名 - ・監査対象・テーマ 【システムリスク管理態勢監査】 (資本金-千万円) (H25年9月17日~ H25年12月31日) 金融庁の定める「金融検査マニュアル」の検査項目となっているシステムリス ク管理態勢の監査を実施した。 ・実施者名 - 4外資系保険業 (東京都) ・監査対象・テーマ 【内部監査のコソーシング】 外資系企業の日本法人及び関係会社を対象に、グローバル及びローカルのセキ (資本金-千万円) (H25年10月15日~ H26年6月30日) ュリティ管理規程類への準拠性に対する監査を内部監査部門とともに実施し た。 ・実施者名 - 5病院(和歌山県)・監査対象・テーマ (資本金-千万円) (H25年11月1日~ H26年3月31日) 【医療情報システムを対象としたシステム監査】 「医療情報システムの安全管理に関するガイドライン」に基づくシステム監査 を実施した。 ・実施者名 - 2.システム監査従事者の概要 ①システム監査を行う部門のシステム監査従事者 587 人 ②上記のうちシステム監査技術者試験合格者数 61 人 従事者氏名 和貝 鵫巣 川津 奥村 安部 淺井 数 システム監査関連資格の取得状況 資 格 の 名 称 取得年月日 昭和62年2月6日 平成14年7月1日 平成3年9月4日 平成18年5月11日 昭和57年9月16日 享介 昭和62年 50回 以上 システム監査技術者 公認システム監査人 公認情報システム監査人 その他(公認情報セキュリティ主席監査人) その他(公認会計士) 香穂利 平成13年 50回 以上 システム監査技術者 公認情報システム監査人 平成15年6月25日 平成15年10月8日 篤子 平成14年 50回 以上 システム監査技術者 公認情報システム監査人 平成16年6月21日 平成16年11月29日 平成9年 50回 以上 システム監査技術者 公認情報システム監査人 その他(公認会計士) その他(公認内部監査人) 平成13年1月12日 平成9年1月10日 平成8年5月21日 平成14年5月 平成9年 50回 以上 システム監査技術者 公認情報システム監査人 その他(公認会計士) 平成13年1月12日 平成9年1月10日 平成8年4月23日 システム監査技術者 公認情報システム監査人 その他(公認会計士) その他(公認内部監査人) 平成16年6月21日 平成16年8月20日 平成8年3月29日 平成17年5月 以上 システム監査技術者 その他(公認会計士) 平成9年1月30日 昭和63年8月19日 50回 以上 システム監査技術者 公認情報システム監査人 平成8年1月25日 平成14年9月9日 裕司 靖雄 孝孔 松嶋 敦 楠 情報システム 回 監査開始年 正彦 平成11年 平成9年 平成11年 50 回 以上 50 回 3.システム監査の得意とする分野 年間約 2,000 件のシステム監査を実施。30 年以上のシステム監査実績を有している。得意とするシステム監査の分 野は以下のとおり。 グローバルベースでのシステム監査(国際・各国基準に精通しており英語等多言語環境に対する監査の実施、 主要言語による報告書の作成が可能) 内部統制報告制度(J-SOX)のための IT 統制に関わるシステム監査 金融検査マニュアルのシステムリスクに対応するためのシステム監査 地方自治体の情報セキュリティ監査(総務省によるガイドラインに精通) システム開発過程監査(大規模システム開発の開発工程監理及び品質保証) ネットワーク監査(インターネット・LAN の監査) 電子認証局の CP/CPS 準拠性監査、WebTrust for CA/EV、SAS70 ERP プロセス監査(SAP、OracleApplications 等の ERP 導入時及び導入後におけるコントロール機能の監査) ISMS(ISO/IEC27001、JIS Q 27001)導入のためのシステム監査と認証取得後のシステム監査 プライバシーマーク取得のためのシステム監査と認証取得後のシステム監査 内部監査コーソーシング(内部監査としてのシステム監査の支援) 監査に当たっては下記のような独自開発した方法論・ツールを使用する。 監査方法論及びそれをサポートする AS/2 ソフトウェア(監査調書作成・管理ソフト)や EMS ソフトウェア(監査 調書作成・管理ソフト)と知識ベース リスク管理方法論、データベース(Rack) セキュリティポリシー策定方法論 インターネット侵入テスト方法論 電子認証局格付けのための方法論・基準書 事業継続計画・管理(BCP/BCM)方法論(BETH3) リスクインテリジェンスマップに基づくリスク評価方法論 リスクアプローチに基づく内部監査方法論 システム投資効果評価のためのシステム評価方法論(Review4effectiveness) SAP システムのアクセス権限設定状況をチェックするソフトウェア(eQSmart、ACTT) 汎用監査ソフトウエア(ACL、STRATA)を利用したコンピュータ利用監査技法の実施 4.その他(システム監査の特色等) 全国の関連保有資格者 ・システム監査技術者試験合格者数:89 名 ・公認システム監査人 :3名 ・公認情報システム監査人(CISA):169 名 ・公認情報システムセキュリティプロフェッショナル(CISSP):5 名