SIerからユーザーへ [CPE]
2010年4月27日、NPO日本システム監査人協会の第153回月例研究会がありました。
この日は、株式会社東京証券取引所の常務取締役兼CIOである鈴木義伯氏の講演でした。
鈴木義伯氏は、NTTデータで長年にわたって金融システムに携わり、NTTデータフォースの社長を経て、2006年2月から東京証券取引所のCIOを務めていらっしゃいます。
講演は、次のテーマで行われました。
「東証新売買システム(arrowhead)の開発経緯について~上流工程の取り組みとその効果~」
鈴木氏は、SIerからユーザー企業へ移られたわけですが、講演を聞くと、SIerにもユーザー企業にも厳しく接しているのが判ります。
特に印象的だったのは、次の点です。
・遡及契約を止めさせた。
ベンダーへのシステム開発の発注時に、日付を遡って契約を締結することがあったそうですが、鈴木氏がCIOに就任してからは禁止したそうです。
契約と実態が乖離しているのは、品質、納期、遵法のいずれにも悪影響がありますから、1番大事なことだと思います。
・発注者責任の明確化
東京証券取引所が作成した要件定義書、外部設計書を一字でも変更する場合は要件変更として扱ったそうです。
要件変更の1件ごとにベンダーから見積もりを取って、1件ごとに発注していたそうです。
・要件変更を開発遅延の云い訳にさせない
要件変更の発生工程、原因工程を明確にすることで、作業の遅延が発注者側の要件変更によるものか、ベンダー側の品質によるものかを明らかにしたそうです。
講演は実データに基づいており、たいへん聴き応えがありました。
IT系資格ブログ
この日は、株式会社東京証券取引所の常務取締役兼CIOである鈴木義伯氏の講演でした。
鈴木義伯氏は、NTTデータで長年にわたって金融システムに携わり、NTTデータフォースの社長を経て、2006年2月から東京証券取引所のCIOを務めていらっしゃいます。
講演は、次のテーマで行われました。
「東証新売買システム(arrowhead)の開発経緯について~上流工程の取り組みとその効果~」
鈴木氏は、SIerからユーザー企業へ移られたわけですが、講演を聞くと、SIerにもユーザー企業にも厳しく接しているのが判ります。
特に印象的だったのは、次の点です。
・遡及契約を止めさせた。
ベンダーへのシステム開発の発注時に、日付を遡って契約を締結することがあったそうですが、鈴木氏がCIOに就任してからは禁止したそうです。
契約と実態が乖離しているのは、品質、納期、遵法のいずれにも悪影響がありますから、1番大事なことだと思います。
・発注者責任の明確化
東京証券取引所が作成した要件定義書、外部設計書を一字でも変更する場合は要件変更として扱ったそうです。
要件変更の1件ごとにベンダーから見積もりを取って、1件ごとに発注していたそうです。
・要件変更を開発遅延の云い訳にさせない
要件変更の発生工程、原因工程を明確にすることで、作業の遅延が発注者側の要件変更によるものか、ベンダー側の品質によるものかを明らかにしたそうです。
講演は実データに基づいており、たいへん聴き応えがありました。
IT系資格ブログ
警察が被害届を受理しない [CPE]
東京ビッグサイトで開催中の Security Solution 2009 と、エンタープライズ・リクス・マネジメント2009 に行ってきました。
中でも、カカクコムの田中実社長の講演はたいへん興味深いものでした。
以前、不正アクセスの被害に遭ったサウンドハウス中島尚彦社長の講演を聴いたときもそうですが、実際にセキュリティインシデントを経験した企業のトップの言葉には学ぶものがあります。
田中社長(事件当時はCFO)のお話で特に印象に残ったのは次の点です。
・警察が被害届を受理してくれない
不正アクセスに気づいたのは2005年5月13日の金曜日。
週末に最寄りの警察署に被害届を出しに行ったものの、休みとあって署員の多くは不在。対応に出たのは畑違いの麻薬取り締まり担当者で、「事件であることを立証してくれ」と云って被害届を受理してくれなかったそうです。
週明けに、ハイテク犯罪専門の部署があることを調べた上で改めて届けに行くはめになり、無駄な時間を費やしたとのこと。
・当局対応
インターネットからの不正アクセスだったので総務省に報告に行き、これは1時間程度で終了。
ところが経済産業省から「消費者保護の観点から」ということで複数回にわたるヒアリングに呼ばれたそうです。
田中氏が、「どの法律、省令、局長通達に基づいて自分は呼ばれているのか」と経済産業省の担当者に尋ねたところ、「行政指導です」との答え。
復旧作業に注力すべき田中氏としては、当局対応は最小化したいところ。
そこで顧問弁護士2名にバッジをつけた上で同行してもらったところ、ヒアリングは終了したそうです。
台北での大地震を経験していた田中氏は、不正アクセスにより会社が存亡の危機に陥っていても、「家族のことまで心配だった地震よりはマシ」と考えて、心を強く持つようにしたそうです。
どんなに会社がたいへんでも、家では家族が健康で待っている、と思うようにしたそうです。
現場の士気を保つ上で、とても重要なポイントですね。
IT系資格ブログ
中でも、カカクコムの田中実社長の講演はたいへん興味深いものでした。
以前、不正アクセスの被害に遭ったサウンドハウス中島尚彦社長の講演を聴いたときもそうですが、実際にセキュリティインシデントを経験した企業のトップの言葉には学ぶものがあります。
田中社長(事件当時はCFO)のお話で特に印象に残ったのは次の点です。
・警察が被害届を受理してくれない
不正アクセスに気づいたのは2005年5月13日の金曜日。
週末に最寄りの警察署に被害届を出しに行ったものの、休みとあって署員の多くは不在。対応に出たのは畑違いの麻薬取り締まり担当者で、「事件であることを立証してくれ」と云って被害届を受理してくれなかったそうです。
週明けに、ハイテク犯罪専門の部署があることを調べた上で改めて届けに行くはめになり、無駄な時間を費やしたとのこと。
・当局対応
インターネットからの不正アクセスだったので総務省に報告に行き、これは1時間程度で終了。
ところが経済産業省から「消費者保護の観点から」ということで複数回にわたるヒアリングに呼ばれたそうです。
田中氏が、「どの法律、省令、局長通達に基づいて自分は呼ばれているのか」と経済産業省の担当者に尋ねたところ、「行政指導です」との答え。
復旧作業に注力すべき田中氏としては、当局対応は最小化したいところ。
そこで顧問弁護士2名にバッジをつけた上で同行してもらったところ、ヒアリングは終了したそうです。
台北での大地震を経験していた田中氏は、不正アクセスにより会社が存亡の危機に陥っていても、「家族のことまで心配だった地震よりはマシ」と考えて、心を強く持つようにしたそうです。
どんなに会社がたいへんでも、家では家族が健康で待っている、と思うようにしたそうです。
現場の士気を保つ上で、とても重要なポイントですね。
IT系資格ブログ
タグ:インシデント
無料でCPEを稼ぐ [CPE]
資格が増えてくると、維持するための時間と金がしんどくなってきます。
ですから、無料でCPE(ポイント)を稼げるイベントは要チェックです。
毎年10月は情報化月間なので、それにちなんでイベントがあります。
今年も経済産業省と財団法人日本情報処理開発協会が共催で、無料の講演会を行うそうです。
気になる後援予定団体は次のとおり。
特定非営利活動法人ITコーディネータ協会
財団法人医療情報システム開発センター
財団法人関西情報・産業活性化センター
社団法人組込みシステム技術協会
財団法人コンピュータ教育開発センター
社団法人コンピュータソフトウェア協会
社団法人情報サービス産業協会
独立行政法人情報処理推進機構
財団法人ソフトウェア情報センター
社団法人電子情報技術産業協会
日本商工会議所
社団法人日本情報システム・ユーザー協会
財団法人ニューメディア開発協会
財団法人マルチメディア振興センター
Webサイトにはわざわざ「※本講演会は、ITコーディネータ知識ポイント付与対象講演会です。」と書いてあります。
もちろん、講演者の顔ぶれも興味深いものです。
詳しくは、日本情報処理開発協会のWebサイトをご覧ください。
また「情報化月間」参加行事として、情報システム・ユ-ザ会連盟が主催する第30回システム監査講演会もあります。
次の団体が後援しています。
NPO日本システム監査人協会
日本セキュリティ・マネジメント学会
ISACA東京支部
システム監査学会
社団法人 日本内部監査協会
日本セキュリティ監査協会
こちらは参加費として5,000円かかりますが、演目には株式会社三菱東京UFJ銀行 監査部業務監査室 上席調査役の金田雅子氏の講演もあります。
先日紹介した講演の内容と同じかどうかは判りませんが、こちらも興味深いです。
今年度上期にあまりCPEを貯められなかった人は、情報化月間で一気に挽回したいですね。
IT系資格ブログ
ですから、無料でCPE(ポイント)を稼げるイベントは要チェックです。
毎年10月は情報化月間なので、それにちなんでイベントがあります。
今年も経済産業省と財団法人日本情報処理開発協会が共催で、無料の講演会を行うそうです。
気になる後援予定団体は次のとおり。
特定非営利活動法人ITコーディネータ協会
財団法人医療情報システム開発センター
財団法人関西情報・産業活性化センター
社団法人組込みシステム技術協会
財団法人コンピュータ教育開発センター
社団法人コンピュータソフトウェア協会
社団法人情報サービス産業協会
独立行政法人情報処理推進機構
財団法人ソフトウェア情報センター
社団法人電子情報技術産業協会
日本商工会議所
社団法人日本情報システム・ユーザー協会
財団法人ニューメディア開発協会
財団法人マルチメディア振興センター
Webサイトにはわざわざ「※本講演会は、ITコーディネータ知識ポイント付与対象講演会です。」と書いてあります。
もちろん、講演者の顔ぶれも興味深いものです。
詳しくは、日本情報処理開発協会のWebサイトをご覧ください。
また「情報化月間」参加行事として、情報システム・ユ-ザ会連盟が主催する第30回システム監査講演会もあります。
次の団体が後援しています。
NPO日本システム監査人協会
日本セキュリティ・マネジメント学会
ISACA東京支部
システム監査学会
社団法人 日本内部監査協会
日本セキュリティ監査協会
こちらは参加費として5,000円かかりますが、演目には株式会社三菱東京UFJ銀行 監査部業務監査室 上席調査役の金田雅子氏の講演もあります。
先日紹介した講演の内容と同じかどうかは判りませんが、こちらも興味深いです。
今年度上期にあまりCPEを貯められなかった人は、情報化月間で一気に挽回したいですね。
IT系資格ブログ
11万人月 [CPE]
ISACA東京支部の月例会に続き、今週はSAAJの月例研究会でした。この2つに参加するだけで、資格更新に必要なCPE時間がほぼ貯まります。
演題は「金融機関におけるプロジェクト監査への取り組み事例」。
三菱東京UFJ銀行 監査部の金田雅子上席調査役による統合プロジェクトの説明でした。
三菱東京フィナンシャルグループとUFJホールディングスの合併については、すでに多々報じられているところです。2段階からなる統合プロジェクトは、Day1プロジェクトだけで3万人月、Day2プロジェクトが11万人月という巨大さです。
今回は、内部監査の取り組みを中心とした話を聞けました。
特に興味深かったのは、第三者機関の活用についてです。
金融庁検査局が通達した「システム統合リスク管理態勢の確認検査用チェックリスト」には、「第三者機関による評価」という項目があり、こう説明されています。
---
取締役会等は、システム統合に係る重要事項の意思決定に際しては、第三者機関による評価を活用しているか。また、システム統合に限らず、統合プロジェクト全般についても、第三者機関による評価の対象としていることが望ましい。
---
金融庁のチェックリストによれば、「第三者機関による評価」とは、例えばシステム監査人によるシステム監査、公認会計士等による内部管理態勢の有効性の評価、コンサルティング会社等による評価、指摘、助言等をいうとのこと。
金田氏の話では、第三者機関がたいへん役に立ったそうです。第三者機関なくしては、統合の成功はなかったとおっしゃいます。
統合対象の各社には内部監査人がいるわけですが、内部監査人がしているのは自社内の監査のみ。各社を横断的に見て問題を検出する役は、第三者機関が果たしてくれたそうです。
なるほど。
もちろん、第三者機関が活躍するためには、内部監査部門が窓口としての機能を果たさなければならないので、内部監査人のご尽力があったればこそだと思います。
たいへん勉強になりました。
IT系資格ブログ
演題は「金融機関におけるプロジェクト監査への取り組み事例」。
三菱東京UFJ銀行 監査部の金田雅子上席調査役による統合プロジェクトの説明でした。
三菱東京フィナンシャルグループとUFJホールディングスの合併については、すでに多々報じられているところです。2段階からなる統合プロジェクトは、Day1プロジェクトだけで3万人月、Day2プロジェクトが11万人月という巨大さです。
今回は、内部監査の取り組みを中心とした話を聞けました。
特に興味深かったのは、第三者機関の活用についてです。
金融庁検査局が通達した「システム統合リスク管理態勢の確認検査用チェックリスト」には、「第三者機関による評価」という項目があり、こう説明されています。
---
取締役会等は、システム統合に係る重要事項の意思決定に際しては、第三者機関による評価を活用しているか。また、システム統合に限らず、統合プロジェクト全般についても、第三者機関による評価の対象としていることが望ましい。
---
金融庁のチェックリストによれば、「第三者機関による評価」とは、例えばシステム監査人によるシステム監査、公認会計士等による内部管理態勢の有効性の評価、コンサルティング会社等による評価、指摘、助言等をいうとのこと。
金田氏の話では、第三者機関がたいへん役に立ったそうです。第三者機関なくしては、統合の成功はなかったとおっしゃいます。
統合対象の各社には内部監査人がいるわけですが、内部監査人がしているのは自社内の監査のみ。各社を横断的に見て問題を検出する役は、第三者機関が果たしてくれたそうです。
なるほど。
もちろん、第三者機関が活躍するためには、内部監査部門が窓口としての機能を果たさなければならないので、内部監査人のご尽力があったればこそだと思います。
たいへん勉強になりました。
IT系資格ブログ