Web教材一覧法規・基準

システム監査基準(平成30年、2018年)

https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf
旧版はこちらにあります。


システム監査

システム監査の意義と目的

システム監査とは、
   専門性と客観性を備えたシステム監査人が、
   一定の基準に基づいて、
   情報システムを総合的に点検・評価・検証をして、
   監査報告の利用者に
   情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、
   又は改善のための助言を行う監査です。
  また、システム監査は、
   情報システムリスクに適切に対処しているかどうかを、
   独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、
   組織体の経営活動と業務活動の効果的かつ効率的な遂行、
   さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、
   又は利害関係者に対する説明責任を果たすこと
を目的としています。

監査人:専門性と客観性を備え独立かつ専門的な立場
対象:情報システムのガバナンス、マネジメント、コントロール
監査:保証:自社の情報システムが基準に合致していることを外部に示せる
   助言:自社の情報システムの問題点を指摘してもらい改善に役立てる
評価基準:「システム管理基準」「情報セキュリティ管理基準」

システム監査基準の意義と適用上の留意事項

「システム監査基準」(以下「本監査基準」という。)とは、
   情報システムのガバナンス、マネジメント又はコントロールを
   点検・評価・検証する業務(以下「システム監査業務」という。)
   の品質を確保し、有効かつ効率的な監査を実現するための
   システム監査人の行為規範である。
 本監査基準は、
   組織体の内部監査部門等が実施するシステム監査だけでなく、
   組織体の外部者に依頼するシステム監査においても適用される。
 本監査基準は、    情報システムの安全性、信頼性、準拠性のみならず、
   情報システムの戦略性、有効性、効率性等の監査もカバーし、
   かつ、中小規模の企業や、各府省庁、地方公共団体、病院、学校法人等、各種組織体が
   各種目的をもってシステム監査を行う場合にも利用できるように、
   汎用性のある内容となっている。

内容:12の基準

Ⅰ.システム監査の体制整備に係る基準
  【基準1】 システム監査人の権限と責任等の明確化
  【基準2】 監査能力の保持と向上
  【基準3】 システム監査に対するニーズの把握と品質の確保
Ⅱ.システム監査人の独立性・客観性及び慎重な姿勢に係る基準
  【基準4】 システム監査人としての独立性と客観性の保持
  【基準5】 慎重な姿勢と倫理の保持
Ⅲ.システム監査計画策定に係る基準
  【基準6】 監査計画策定の全般的留意事項
  【基準7】 リスクの評価に基づく監査計画の策定
Ⅳ.システム監査実施に係る基準
  【基準8】 監査証拠の入手と評価
  【基準9】 監査調書の作成と保管
  【基準10】 監査の結論の形成
Ⅴ. システム監査報告とフォローアップに係る基準
  【基準11】 監査報告書の作成と提出
  【基準12】 改善提案のフォローアップ


Ⅰ.システム監査の体制整備に係る基準

【基準1】 システム監査人の権限と責任等の明確化

システム監査の実施に際しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、文書化された規程等又は契約書等により明確に定められていなければならない。

文書化すべき事項
  ・システム監査の目的に関する事項
  ・システム監査の対象範囲に関する事項
  ・システム監査の報告に関する事項
  ・システム監査人の権限・責任に関する事項
  ・システム監査実施のための監査資源(監査時間、監査要員、監査費用等)の確保に関する事項
  ・システム監査人の各種設備や情報資産等へのアクセス権限に関する事項
  ・システム監査業務の委託の可否に関する事項
  ・システム監査人の守秘義務に関する事項

システム監査 の全部又は一部を、組織体外部の専門事業者(監査法人等を含む。)に委託する場合は、委託契約書に、委託するシステム監査業務の内容及び責任等を明確に定める必要があります。

【基準2】 監査能力の保持と向上

システム監査の品質を高め、組織体の状況やIT環境の変化等に対応して、効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない。

システム監査人に必要な知識・技能として、
  ・システム監査に関する専門的知識・技能
  ・情報システムに関する専門的知識・技能
  ・論理的思考能力(ロジカルシンキング及びロジカルライティング)
  ・やコミュニケーション能力(プレゼンテーション技法及びインタビュー技法)
などが挙げられています。

【基準3】 システム監査に対するニーズの把握と品質の確保

システム監査の実施に際し、システム監査に対するニーズを十分に把握したうえでシステム監査業務を行い、システム監査の品質が確保されるための体制を整備しなければならない。

システム監査は、任意監査(法令等によって強制されない監査)であることから、基本的にはシステム監査の依頼者がいかなるニーズをもっているかによって、それに見合ったシステム監査の目的が決定され、システム監査の対象が選択されます。

内部監査と外部監査

内部監査部門内等での自己点検・評価(内部評価)と組織体外部の独立した主体による点検・評価(外部評価)があります。内部監査は、対象を限定して比較的多頻度に行い、そのまとめとして、総合的な観点から外部監査をを定期的に実施するのが適切です。このように監査方法によるニーズの違いがあります。

監査目的

外部監査を行う目的は、大きく助言目的と保証(認定)目的があります。


Ⅱ.システム監査人の独立性・客観性及び慎重な姿勢に係る基準

【基準4】 システム監査人としての独立性と客観性の保持

システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観に十分に配慮しなければならない。また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない。

システム監査人が、監査対象の部門に属していたり、利害関係があったりすると、客観的な立場で監査するのに不適切ですし、監査結果の信頼性も低くなります。
  ・外観の独立性:監査対象から独立した立場
  ・客観的な視点:高い倫理観、社会的な視点から見て公正な判断
が必要であり、それを維持するためにも専門的な知識・技能が求められます。

【基準5】 慎重な姿勢と倫理の保持

システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家としての慎重な姿勢で臨むとともに、倫理観を保持し、誠実に業務を実施しなければならない。

慎重な姿勢とは、誤った監査上の判断や誤解に 基づく監査上の判断がないよう、十分な注意を払うことです。入手した監査証拠の十分性、適切性、正確性について精査監査上の判断に絶対に誤りのないように努めることです。独自の見解により突出した成果を得ようとしてはなりません。

職業倫理の遵守とは、監査の実施や報告において倫理を重んじること、知り得た情報に守秘義務を守ることなどです。


Ⅲ.システム監査計画策定に係る基準

【基準6】 監査計画策定の全般的留意事項

システム監査人は、実施するシステム監査の目的を効果的かつ効率的に達成するために、監査手続の種類、実施時期、及び適用範囲等について、適切な監査計画を立案しなければならない。監査計画は、状況に応じて適時に変更できるように弾力的なものでなければならない。

状況が変化した場合、システム監査の実施過程で新たな状況が発見された場合、又はやむを得ない事情により監査体制の変更が生じた場合には、適宜、計画を修正する必要があります。

アジャイル開発手法は、開発部門と利用部門の協調によって迅速かつ柔軟な反復的・継続的開発をすることが本来の意義です。アジャイル開発手法の本来の意義を損なわないように留意しつつ、監査実施のタイミング、サイクル、作業負荷、及び監査証拠の範囲・種類などを特定して計画を立案する必要があります。

【基準7】 リスクの評価に基づく監査計画の策定

システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するリスクアプローチに基づいて、監査計画を策定し、監査を実施しなければならない。

監査でのリスクアプローチ

情報システムリスク


Ⅳ.システム監査実施に係る基準

【基準8】 監査証拠の入手と評価

システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠を入手しなければならない。

監査証拠の入手

予備調査での監査証拠
監査対象(情報シス テムや業務等)の詳細、事務手続やマニュアル等を通じた業務内容、業務分掌の体制など。関連する文書や資料等の閲覧、監査対象部門や関連部門へのインタビューなどがあります。
本調査での監査証拠
予備調査での監査証拠をベースにして、証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えた証拠を入手します。
単にインタビュー等による口頭証拠だけに依存するのではなく、現物・状況等の確認や照合、さらにはシステム監査人によるテストの実施、詳細な分析などを通じて可能な限り客観的で確証的な証拠を入手するよう心掛けることが重要です。

監査証拠の入手・分析技法

チェックリスト法
システム監査人が、あらかじめ監査対象に応じて作成したチェックリスト形式の質問書に対して、関係者から回答を求める技法
ドキュメントレビュー法
監査対象の状況に関する監査証拠を入手するために、システム監査人が、関連する資料及び文書類を入手し、内容を点検する技法
インタビュー法
監査対象の実態を確かめるために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法
ウォークスルー法
データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法
突合・照合法
関連する複数の証拠資料間を突き合わせること。記録された最終結果について、原始資料まで遡ってその起因となった事象と突き合わせる技法
現地調査法
システム監査人が、被監査部門等に直接赴き、対象業務の流れ等の状況を、自ら観察・調査する技法
コンピュータ支援監査技法
監査対象ファイルの検索、抽出、計算等、システム監査上使用頻度の高い機能に特化した、しかも非常に簡単な操作で利用できるシステム監査を支援する専用のソフトウェアや表計算ソフトウェア等を利用してシステム監査を実施する技法。

アジャイル手法によるシステム開発プロジェクトの監査では、開発に支障を与えない考慮が必要です。
開発手法そのものに、監査のために最低限必要となる情報をあらかじめ定義したり、自動化ツールを用いて、監査証拠を入手したりする方法もあります。また、例えばホワイトボードに記載されたスケッチの画像データや開発現場で作成された付箋紙なども監査証跡になります。

【基準9】 監査調書の作成と保管

システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない。

システム監査人は、すべてのシステム監査において、実施内容の客観性等を確保するために、監査調書を作成します。その記載事項は次の項目があります。
・監査実施者及び実施日時
・監査の目的
・実施した監査手続
・入手した監査証拠
・システム監査人が発見した事実(事象、原因、影響範囲等)及び発見事実に関するシステム監査人の所見
・監査調書のレビューが行われた場合には、レビューアの氏名及びレビュー日

監査調書には、組織体の重要情報や機密情報が含まれていることが一般的 であり、通常、電子媒体で保管されることから、監査調書の受け渡しや持ち出し等のルールを定めるとともに、未承認アクセスに対する防止対策、及び適切なバックアップ対策を講じるようにし、監査調書の散逸、改ざん等に十分に留意することが求められます。

【基準10】 監査の結論の形成

システム監査人は、監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基づき、監査の結論を導かなければならない。

システム監査人は、監査調書に基づいて結論表明のための合理的な根拠を固める必要があり、論理の飛躍がないように心掛ける必要があります。
 システム監査人の所見、当該事実を裏づける監査証拠等について、監査対象部門との間で意見交換をすることが必要なこともあります。それは監査対象部門の承認を得るためではなく、事実確認をするためです。

システム監査人は、監査調書の内容から明らかになった、情報システムのガバナンス、マネジメント、又はコントロールの不備がある場合、その内容と重要性から監査報告書の指摘事項とすべきかどうかを判断します。
 その場合、不備の全てを指摘事項とする必要はありません。その内容と重要性に基づいて、順位付けをするべきです。


Ⅴ. システム監査報告とフォローアップに係る基準

【基準11】 監査報告書の作成と提出

システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。

システム監査報告書の作成に際しては、正確性、客観性、簡潔性、明瞭性、理解容易性、適時性に留意することが大切ですが、それ以外にも留意すべきことが大切です。

監査対象部門に対しては、監査依頼者たる経営陣の了承を得たうえで、監査報告書の写しを回付することが適切です。
 とりわけ、監査報告書に指摘事項及び改善提案を記載した場合には、当該事項に関係する監査対象部門に対しては、当該監査に限定した監査報告書を提出するなどの工夫を行うことが望ましい。
 改善勧告の記載に際しては、重要改善事項と通常改善事項等、あるいは緊急改善事項と中長期改善事項等、その重要度や緊急度に区別して記載すること。あわせて、改善に責任を有する担当部署を明確にする必要があります。

【基準12】 改善提案のフォローアップ

システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。

フォローアップは、監査対象部門の責任において実施される改善をシステム監査人が事後的に確認するという性質のものです。改善勧告の実現を確認するためのものです。
 その確認をして経営陣に報告するのはシステム監査人の任務ですが、改善計画の策定及びその実行への関与は、システム監査人による独立性と客観性を損なうので行うべきではありません。