Web教材一覧法規・基準

システム監査基準/システム管理基準

キーワード

システム監査基準、システム管理基準


システム監査とは

システム監査の目的

システム監査の目的は、「情報システムの信頼性、安全性及び効率性の向上を図り、情報化社会の健全化に資する」ことにあります。
 経済産業省「システム監査基準」では、システム監査の目的を次のように示しています( ( )内は筆者による補足)。

情報システム関連のリスクコントロールを適切に整備・運用することの目的は次のとおりです(「システム監査基準」前文)
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

システム監査基準とシステム管理基準

経済産業省は、システム監査の基準として、次の基準を策定しています。

システム監査基準
http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa.pdf
監査人が監査をするための基準です。監査人は被監査部門から独立していること、情報システムと監査に関する能力を持っていることなど、監査人に関する規程や、監査の方法、報告の方法などの基準が定められています。
システム管理基準
http://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kanri.pdf
経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資、リスクコントロールを適切に整備・運用するための実践規範になっています。
システム管理基準は、システム監査の判断尺度として用いる基準ですが、システム監査を受けるためでなく、情報システムの信頼性、安全性及び効率性の向上を図るためのチェックリストとしても活用できます。
システム管理基準 追補版(財務報告に係るIT統制ガイダンス)
http://www.meti.go.jp/policy/netsecurity/downloadfiles/guidance.pdf
金融商品取引法の施行に際して金融庁が策定した「財務報告に係る内部統制の評価及び監査に関する実施基準」(実施基準)のなかの「ITへの対応」に関して,システム管理基準を追補したものです。「ITへの対応」への取組み方法を具体的な例をあげて説明したものです。
これに関しては、別章「システム管理基準追補版(IT統制ガイダンス)」で取り扱います。

他の監査との関係

システム監査は、会計監査とは異なり、法的強制のない任意監査です。しかし、システム監査を行うことにより、
 ・組織内での情報システムに関するガバナンスが向上する。
 ・ステークホルダーへの説明責任として有効である。
などの効果があります。
 また、金融商品取引法による財務報告に関する内部統制(IT統制)の規定により、上記の「システム管理基準追補版」への準拠が重要になってきました。

情報システムに関する監査では、セキュリティ監査基準ISMS(情報セキュリティマネジメントシステム)があります。これらは、情報セキュリティに特化した分野を対象にしています。それに対して、システム監査は情報システム全般を対象にしており、セキュリティも含まれますが具体的な詳細は対象にしていません。

システム監査基準

システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範です。次の3つからなっています。

一般基準(システム監査人)

システム監査人は、システム監査の専門知識・経験により、対象システムを総合的に評価し、助言・勧告・改善活動のフォローアップをすることが任務です。報告書は、対象システムがシステム管理基準に照らして「この個所にこのような不備があるので、このレベルにまで改善すべきだ。改善程度を次回の監査でチェックする」という内容になります。
 それに対して、具体的な改善対策を立案・実施するのは被監査部門の任務です。改善実現をシステム監査人の任務にすると、システム監査人自身が被監査部門の一員になるので、適切なシステム監査ができなくなるからです。

システム監査人の立場
  • 外観上の独立性
    システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。
  • 専門能力
    システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。
システム監査人の行動規範
  • 精神上の独立性
    システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
  • 職業倫理と誠実性
    システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。
システム監査人の業務上の義務
  • 注意義務
    システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。
  • 守秘義務
    システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。
  • 品質管理
    システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。

システム監査の手順

システム監査は次の順序で行われます。監査人の任務だともいえます。

実施基準

監査計画の立案
監査手続の内容、時期及び範囲等について、適切な監査計画を立案すること
監査計画は、事情に応じて適時に修正できるように弾力的に運用すること
監査の手順
監査計画に基づき、予備調査→本調査→評価・結論の手順
監査の実施
システム監査人は適切かつ慎重に監査手続の実施、保証又は助言についての監査結果を裏付けるための監査証拠を入手し評価する。
実施した監査手続の結果とその関連資料を、監査調書として作成し保存するする。
監査業務の体制
適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導までの監査業務の全体を管理する。
他の専門職の利用
必要に応じて他の専門職による支援を考慮する。その場合も、利用の範囲、方法、及び結果の判断等は、システム監査人の責任である。

報告基準

監査報告書の提出と開示
監査目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査依頼者に提出すること
監査報告の根拠
監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。
監査報告書の記載事項
監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。
監査報告についての責任
システム監査人は、監査報告書の記載事項について、その責任を負う。
監査報告に基づく改善指導(フォローアップ)
システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮すること。

システム管理基準

システム管理基準は、情報システムの管理を適切に行うための実践規範を体系的に列挙したものです。膨大になるので体系だけを表示しました。個々の内容は(詳細)をクリックすると表示されます。
 例えば「全体最適化の方針・目標」では、
  (1)ITガバナンスの方針を明確にすること。
  (2)情報化投資及び情報化構想の決定における原則を定めること。
      :
などが掲げられています。
 このように「実現すべきこと」が示されているだけで、「実現のために、どうするか」の方法・手段を示したものではありません。


本シリーズの目次へ