システム監査とは?体制整備、独立性・客観性・慎重な姿勢などについてまとめました。
【システム監査の体制整備】
項目 | 概要 |
---|---|
可監査性 | ログや処理手順が完備され、監査人が業務処理の正当性や内部統制を効果的に監査又はレビューできるように情報システムが設計・運用されている度合い。 |
システム監査業務の品質管理 | 「システム監査基準」では「システム監査結果の適正性を確保すること」が目的とされています。 |
【システム監査人の独立性・客観性・慎重な姿勢】
【システム監査計画策定】
用語 | 概要 |
---|---|
個別監査計画書 | 監査人が、年度の監査計画を監査対象ごとに詳細化して作成したもの。変更の必要性が生じた場合、PDCAサイクルで柔軟に変更できる。個別計画書の監査時期・日程には、予備調査、本調査、監査結果の報告会、フォローアップを含めたものを記載する。 |
【システム監査実施】
システム監査は、「情報システムが安全、有効かつ効率的に機能し、情報の信頼性を保つようにコントロールされているか」を確認します。
監査項目は大きく分けて「信頼性」「安全性」「効率性」に分類されます。
分類 | 概要 |
---|---|
信頼性 | 情報システムの品質並びに障害の発生、影響範囲及び回復の度合 |
安全性 | 情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合 |
効率性 | 情報システムの資源の活用及び費用対効果の度合 |
システム監査の手順
項目 | 概要 |
---|---|
システム監査の手順(共通フレーム2013) | ①予備調査、②本調査、③評価・結論 |
システム監査の手順(システム監査基準、平成30年) | ①監査計画策定、②予備調査、③本調査、③監査調書の作成、④監査報告書の提出、⑥フォローアップ |
項目 | 概要 |
---|---|
①予備調査 | 監査対象部門や関連部門に照会を行うなどして監査対象の実態を把握するためのプロセス。予備調査は監査計画書を作成後かつ本調査よりも前に行います。 |
②本調査 | サンプリング調査など、監査の結論を裏付けるための監査証拠を入手するプロセス。「①予備調査結果の確認 ②監査証拠の入手 ③証拠能力の評価」の順に行う。 |
③評価・結論 | 監査担当者や監査責任者による評価を得て、被監査部門と監査結果について講評会等で意見交換を行い、監査人の事実誤認等をないことを確認したうえで、結論を出す。 |
用語 | 概要 |
---|---|
監査証拠(かんさしょうこ) | 監査人が監査意見の判断根拠とする資料(ドキュメントやログ、ヒアリング内容など)。監査人が収集又は作成する資料で、監査報告書に記載する監査意見や指摘事項は、その資料によって裏付けられていなければならない。システムの開発、運用及び保守を担当者1人だけで実施している場合、その担当者のみからシステム開発及び運用状況を確認しても客観性に欠けた監査証拠しか得られないため、システムの利用部門や責任者からも状況を確認することが望ましい。 |
監査証跡(かんさしょうせき) | 監査対象システムの入力〜出力までの過程を追跡できる一連の仕組みと記録。情報システムの処理内容について、データの発生から処理結果まで追跡できる記録(ログファイルなど)。 |
監査チェックリスト | 監査を行うときに使用するものです。監査を行いチェック結果を記入したチェックリストは監査調書の一部になる。 |
監査手続書 | 監査を行うときの手順書です。 |
監査調書 | システム監査人が行った監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの。監査手続の実施内容や発見した問題点、収集した情報およびそれらの分析結果、監査人の結論などをまとめた文書で、監査報告書に記載される監査結果、監査意見、改善勧告などの根拠となる。システム監査基準では「システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならないとされている。 |
リスク | 想定される状態とは異なる状態に陥る可能性 |
コントロール | リスクを防止・低減するために行う施策 |
監査手続 | コントロールが機能していることの確認(ドキュメントやログなどの査閲、担当者本人にヒアリングするなど) |
なお、システム監査技術者試験の午後筆記問題では、「××(監査証拠)を査閲して○○(コントロールされていること)を確認する」という回答がテンプレートとなる。
システム監査技法
用語 | 概要 |
---|---|
組込み監査モジュールを用いた方法 | 監査機能を持ったモジュールを監査対象プログラムに組み込んで実環境下で実行し、抽出条件に合った例外データ、異常データなどを取得し、監査対象プログラムの処理の正確性を検証する方法である。 |
ITF法 | 監査対象ファイルにシステム監査人用の口座を設け、システムが実稼働中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、監査対象プログラムの処理の正確性を検証する方法である(Integrated Test Facility)。 |
並行シミュレーション法 | システム監査人が準備した監査用プログラムと監査対象プログラムに同一のデータを入力し、両者の実行結果を比較することによって、監査対象プログラムの処理の正確性を検証する方法である。 |
スナップショット法 | プログラムをアプリケーションシステムに組込み検証する。つまり、プログラムの検証したい部分を通過したときの状態を出力し、それらのデータを元に監査対象プログラムの処理の正確性を検証する方法である。 |
テストデータ法 | 監査対象のシステムにテストデータを入力し、その結果から、処理の正当性を確認する手法。留意すべき点として、テスト対象プログラムのロジックが本番で稼働しているものと同一であることを確認すること。 |
トレーシング法 | プログラムの実行内容をトレースして有効性を確認する。 |
コード比較 | プログラムのコードを比較する。 |
統計的サンプリング法 | サンプルの抽出に無作為法を用い、サンプルの評価結果に基づいて母集団に関する結論を出す場合に、確率論の考え方を用いる。 統計学的に母集団全体を判断するためのサンプル数を事前に計算で求めることができます。 |
【システム監査報告とフォローアップ】
システム監査基準では「システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成する必要があります。
用語 | 概要 |
---|---|
監査調書 | システム監査人が行った監査業務の実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの。監査手続の実施内容や発見した問題点、収集した情報およびそれらの分析結果、監査人の結論などをまとめた文書で、監査報告書に記載される監査結果、監査意見、改善勧告などの根拠となる。システム監査基準では「システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならないとされている。 |
システム監査報告書 | 実施した監査の結果と、監査意見を記述したもの。「監査対象」「概要」「意見(保証または助言)」「制約や除外事項」「指摘事項」「改善勧告」について、監査証拠と関係を示し、システム監査人が作成し、監査の依頼者に提出する。 |
システム監査報告書(助言型) | ・コントロールの改善を目的として問題点を検出・提示するためにシステム監査を実施した旨を記載する必要がある ・保証型報告書とは異なり、責任区分にあえて言及する必要はない。 |
システム監査報告書(保証型) | ・システム監査人は自ら実施した方法と結論だけに責任を負う旨を記載する必要がある。 |
改善実施状況報告書 | 監査対象部門が、監査報告後に改善提案への対応方法を記入したもの |
フォローアップ
システム監査報告書に記載された改善勧告に対する監査人の取組みに対するフォローアップとして以下のようなものがあります。
実施者 | 実施内容 |
---|---|
システム監査の依頼人が実施 | ・改善勧告に対する改善の実施を、被監査部門の長に指示する。 ・改善勧告の内容を被監査部門に示し、改善実施計画を提出する。 |
システム監査人が実施 | 改善勧告に対する被監査部門の改善実施状況を確認する。 |
システム監査の依頼人や被監査部門の長が実施 | 改善勧告に対する被監査部門の改善実施プロジェクトの管理を行う。 |
改善実施状況報告書 | ・システム監査人は、監査対象部門が提出した改善実施状況報告書の確認及び改善内容の追加的な検証が必要かどうかを検討します。 |
その他
項目 | 概要 |
---|---|
システム監査チームで監査結果の評価を行い、一部項目について、調査不足から監査人の意見が分かれたときは「意見の統一を図るため追加の監査手続きを実施する」のが適切 | 監査チームは監査を行ったら監査報告書を提出することが義務であり、また、監査人は監査報告書の内容に責任を負わないといけないため。 |
【情報セキュリティ監査】
用語 | 概要 |
---|---|
エディットバリデーションチェック | 「実際に例外データや異常データの入力を行う」など、利用者の入力値が「予定していた条件内に収まっているか」確認することで入力値の正確性を高める機能。「規定外のデータ」を除外する役割をもつため、実際に例外データを入力し、定められたエラー処理がなされるかを検証する。例えば、数字項目か英字項目かといった属性のチェックや、けた数のチェック、データの範囲の妥当性チェックなどを行う。 |
【ISO/IEC 17799:2000】情報セキュリティ管理基準
経済産業省が規定している「情報セキュリティ管理基準」は、国際標準規格であるISO/IEC 17799:2000(JIS X 5080:2002)を基に、情報セキュリティに関するコントロールの目的、コントロールの項目を規定したものです。
原文:https://www.meti.go.jp/policy/netsecurity/is-kansa/
【システム管理基準】
経済産業省が公開している「システム管理基準(平成30年版)」では冒頭で以下のように説明されています。
前文(システム管理基準の活用にあたって)
システム管理基準は、平成 16 年のシステム監査基準の改訂において、それまでの「一般基準」、「実施基準」、「報告基準」で構成されるシステム監査基準の「実施基準」の主要部分を抜き出すとともに、当時の情報技術環境の進展を踏まえて修正・追加を行うことによって、システム監査基準の姉妹編として策定された。その主旨は、システム監査とシステム管理の実践規範を明確に切り分けることによって、システム監査実践の独立性・客観性を明確に位置づけるとともに、監査の効率的・効果的遂行を可能にする判断の尺度として有効活用されることを企図するものであった。
今回の改訂の主旨は、前回の改訂の後に生じた情報通信技術環境と情報化実践の大きな変化を踏まえて、さらに次の点を企図している。第 1 に、大企業のみならず中小企業においても情報システム化戦略、情報システム化実践に関わる適切な自己診断及び監査実践を可能にすること。
第 2 に、情報システムにまつわるリスクを適切にコントロールしつつ、これまで以上にIT ガバナンスの実現に貢献すること。本基準は、どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化・一般化したものである。したがって、本基準の適用においては、基準に則って網羅的に項目を適用するような利用法は有効ではない。事業目的、事業分野における特性、組織体の業種・業態特性、情報システム特性などに照らして、適切な項目の取捨選択や各項目における対応内容の修正、情報システムの管理に関連する他の基準やガイドから必要な項目を補完するなど、監査及び管理の主旨が実現できるように独自の管理基準を策定して適用することが望ましい。
なお、情報セキュリティの確保に焦点をおいて情報システムの監査・管理を実施する場合には、当基準でも情報セキュリティの確保に関連する最小限の項目で体系化しているが、それぞれの項目については、「情報セキュリティ管理基準(平成 28 年改正版」(経済産業省)などを活用して独自の管理基準を策定することが望ましい。さらに、独自に策定する管理基準については、情報システムに影響を与える情報技術の発展動向、関連する法令や規範の制定・改定状況、情報システム管理プロセスの要員の知識と技能の蓄積度などに絶えず注意を払い、定期的に管理項目の追加・削除などの修正を行うことにより基準の有用性を高めることが必要である。なお本基準では、「情報セキュリティ管理基準」における要求事項との対応関係の理解を容易にするために、「情報セキュリティ管理基準参照表」を付してある。これを参照して各企業のリスク特性を勘案して独自の管理基準の策定に利用されたい。
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用し、情報システムが安全、有効かつ効率的に機能することを目的とする。
ポイント | 概要 |
---|---|
EDMモデル | 経営陣の行動を、情報システムの企画、開発、保守、運用に関わるITマネジメントとそのプロセスに対して、経営陣が評価し、指示し、モニタすること。システム管理基準(平成30年)において、ITガバナンスにおける説明として採用されている。 |
経営陣がITガバナンスを成功に導くために採用することが望ましい原則としているもの | システム管理基準(平成30年度)責任、戦略、取得、パフォーマンス、適合、人間行動 |
アジャイル開発で留意する点
システム管理基準(平成30年)では、アジャイル開発で留意する点として以下のように記載されています。
1. 利用部門と情報システム部門・ビジネス部門が一体となったチームによって開発を実施すること
2. アジャイル開発では、反復開発を実施すること
3. プロダクトオーナーは、開発目的を達成するために必要な権限を持つこと
4. 開発チームは、複合的な技能と、それを発揮する主体性を持つこと
5. プロダクトオーナーと開発チームは、反復開発によって、ユーザが利用可能な状態の情報システムを継続的にリリースすること
6. プロダクトオーナーと開発チームは、反復開発を開始する前にリリース計画を策定すること
7. プロダクトオーナー及び開発チームは、緊密なコミュニケーションの構築ためのミーティングを実施すること
8. プロダクトオーナー及び開発チームは、イテレーション毎に情報システム、及びその開発プロセスを評価すること
9. プロダクトオーナー及び開発チームは、利害関係者へのデモンストレーションを実施すること
【システム監査基準】
システム監査基準(平成30年)では、監査計画の策定に当たり、監査対象として考慮する項目を、情報システムの「ガバナンス」「マネジメント」「コントロール」に関するものに分けて例示しています。
項目 | 監査対象として考慮するもの |
---|---|
ガバナンス | ・IT戦略と経営戦略の整合性がとらわれているか、新技術やイノベーションの経営戦略への組込みが行われているか |
マネジメント | ・IT投資管理や情報セキュリティ対策がPDCAサイクルに基づいて、組織全体として適切に管理されているか |
コントロール | ・規定に従った承認手続きが実施されているか、異常なアクセスを検出した際に適時な対処及び報告が行われているか ・組織の業務プロセスなどにおいて、リスクに応じた統制が組み込まれているか |
【その他】
用語 | 概要 |
---|---|
プルーフリスト(proof list) | データの入力作業が終わった段階で、処理の本作業を始める前に、システムに入力されたデータの件数などを一覧表にしたもの。入力データの照合や重複、紛失データの発見、修復等に使用される。 |
ITIL | ITサービスの品質向上のためのガイドラインを基に作成した、ITサービスマネジメントに関するフレームワーク。 |
システム監査基準 | 一般基準、実施基準及び報告基準から構成されており、一般基準ではシステム監査人の独立性や職業倫理について規定されている。システム監査業務の品質を確保し、有効かつ効果的に監査を実施することを目的とした監査人の行為規範。 |
システム管理基準 | 情報システム戦略に基づき、効果的な情報システム投資のための、また、リスクを低減するためのコントロールを適切に整備・運用するための実践規範。 |
試査(サンプリング) | 抽出した一定件数のトランザクションデータに監査手続を適用し、データ全件の正当性について確認する。システム監査でトランザクションの全件に対して監査手続を行うことは困難なので、試査が行われる。 |
許容誤謬率 | サンプリングした結果のうち、監査人が受け入れられる内部統制からの逸脱率のことです。サンプリング(試査)に関わる用語です。 |
リスクアプローチ | システム監査基準では「監査人は、監査リスクを合理的に低い水準に抑えるために、財務諸表における重要な虚偽表示のリスクを評価し、発見リスクの水準を決定するとともに、監査上の重要性を勘案して監査計画を策定し、これに基づき監査を実施しなければならない。」と説明されている。例えば、財務報告に係る内部統制監査では、「想定されるリスクのうち、財務諸表の重要な虚偽表示リスクが高い項目に監査のリソースを重点的に配分する。」ことがリスクアプローチになります。 |
第一者審査(内部監査) | 内部監査人が行う情報セキュリティ監査など |
第二者監査(顧客又は組織による監査) | 業務委託先である子会社へのシステム監査など |
第三者審査(審査機関や監査法人による監査) | 監査法人による会社法監査、審査機関によるISMS認証監査など |
監査人が必要と認めた監査手続きが制約され、保証意見の合理的な根拠を得ることができなかった場合の対応 | 「情報セキュリティ監査基準 報告基準ガイドライン」では、そのような場合には「保証意見を述べてはならない。」と書かれている。 |
コメント