システム監査基準
Ⅰ.前文
今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体の IT ガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。
組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。
・情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
・情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
・情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
・情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
システム監査基準は、システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行為規範である。本監査基準は、監査人としての適格性及び監査業務上の遵守事項を規定する「一般基準」、監査計画の立案及び監査手続の適用方法を中心に監査実施上に枠組みを規定する「実施基準」、監査報告に係わる留意事項と監査報告書の記載方式を規定する「報告基準」からなっている。
システム監査基準は、組織体の内部監査部門等が実施するシステム監査だけでなく、組織体の外部者に監査を依頼するシステム監査においても利用できる。さらに、本基準は、情報システムに保証を付与することを目的とした監査であっても、情報システムの改善のための助言を行うことを目的とした監査であっても利用できる。
システム監査の実施に当たっては、組織体における情報システムにまつわるリスクに対するコントロールの適否を判断するための尺度が必要である。システム監査は、本監査基準の姉妹編であるシステム管理基準を監査上の判断の尺度として用い、監査対象がシステム管理基準に準拠しているかどうかという視点で行われることを原則とする。しかし、システム管理基準に基づく監査に限らず、各種目的あるいは各種形態をもって実施されるシステム監査においても本監査基準を活用することができる。
システム監査基準は、昭和60年(1985年)1月に策定されたもので、その後平成8年(1996年)1月に改訂され、今回は2度目の改訂である。今回の改訂は、昨年4月に創設された情報セキュリティ監査基準との整合性を図り、従来の実施基準の主要部分を抜き出し、システム管理基準として独立させ、それぞれに大幅な加筆・修正を行ったものである。
Ⅱ.システム監査の目的
システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。
Ⅲ.一般基準
1.目的、権限と責任
システム監査を実施する目的及び対象範囲、並びにシステム監査人の権限と責任は、文書化された規程、または契約書等により明確に定められていなければならない。
2.独立性、客観性と職業倫理
2.1 外観上の独立性
システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。
2.2 精神上の独立性
システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
2.3 職業倫理と誠実性
システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。
3.専門能力
システム監査人は、適切な教育と実務経験を通じて、専門職としての知識及び技能を保持しなければならない。
4.業務上の義務
4.1 注意義務
システム監査人は、専門職としての相当な注意をもって業務を実施しなければならない。
4.2 守秘義務
システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために利用してはならない。
5.品質管理
システム監査人は、監査結果の適正性を確保するために、適切な品質管理を行わなければならない。
Ⅳ.実施基準
1.監査計画の立案
システム監査人は、実施するシステム監査の目的を有効かつ効率的に達成するために、監査手続の内容、時期及び範囲等について、適切な監査計画を立案しなければならない。監査計画は、事情に応じて適時に修正できるように弾力的に運用しなければならない。
2.監査の手順
システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。
3.監査の実施
3.1 監査証拠の入手と評価
システム監査人は適切かつ慎重に監査手続を実施し、保証又は助言についての監査結果を裏付けるのに十分かつ適切な監査証拠を入手し、評価しなければならない。
3.2 監査調書の作成と保存
システム監査人は、実施した監査手続の結果とその関連資料を、監査調書として作成しなければならない。監査調書は、監査結果の裏付けとなるため、監査の結論に至った過程がわかるように秩序整然と記録し、適切な方法によって保存しなければならない。
4.監査業務の体制
システム監査人は、システム監査の目的が有効かつ効率的に達成されるように、適切な監査体制を整え、監査計画の立案から監査報告書の提出及び改善指導(フォローアップ)までの監査業務の全体を管理しなければならない。
5.他の専門職の利用
システム監査人は、システム監査の目的達成上、必要かつ適切と判断される場合には、他の専門職による支援を考慮しなければならない。他の専門職による支援を仰ぐ場合であっても、利用の範囲、方法、及び結果の判断等は、システム監査人の責任において行われなければならない。
6.情報セキュリティ監査
情報セキュリティ監査については、原則として、情報セキュリティ管理基準を活用することが望ましい。
Ⅴ.報告基準
1.監査報告書の提出と開示
システム監査人は、実施した監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。監査報告書の外部への開示が必要とされる場合には、システム監査人は、監査の依頼者と慎重に協議の上で開示方法等を考慮しなければならない。
2.監査報告の根拠
システム監査人が作成した監査報告書は、監査証拠に裏付けられた合理的な根拠に基づくものでなければならない。
3.監査報告書の記載事項
監査報告書には、実施した監査の対象、実施した監査の概要、保証意見又は助言意見、制約又は除外事項、指摘事項、改善勧告、その他特記すべき事項について、証拠との関係を示し、システム監査人が監査の目的に応じて必要と判断した事項を明瞭に記載しなければならない。
4.監査報告についての責任
システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。
5.監査報告に基づく改善指導 (フォローアップ)
システム監査人は、監査の結果に基づいて所要の措置が講じられるよう、適切な指導性を発揮しなければならない。
マネジメントシステム監査のための指針 (JIS Q 19011:2012)
a) 高潔さ:専門家であることの基礎
監査員及び監査プログラムの管理者は、次の事項を行うことが望ましい。
− 自身の業務を正直に、勤勉に、かつ責任感をもって行う。
− 適用される法的要求事項全てに対し、注目し、順守する。
− 自身の業務を実施するに当たり、力量を実証する。
− 自身の業務を、公平な進め方で、すなわち、全ての対応において公正さをもち、偏りなく行う。
− 監査の実施中にもたらされ得る、自身の判断への影響全てに対し、敏感である。
b) 公正な報告:ありのままに、かつ、正確に報告する義務
監査所見、監査結論及び監査報告は、ありのままに、かつ、正確に監査活動を反映することが望ましい。監査中に遭遇した顕著な障害、及び監査チームと被監査者との間で解決に至らない意見の相違について報告することが望ましい。コミュニケーションはありのままに、正確で、客観的で、時宜を得て、明確かつ完全であることが望ましい。
c) 専門家としての正当な注意:監査の際の広範な注意及び判断
監査員は、自らが行っている業務の重要性、並びに監査依頼者及びその他の利害関係者が監査員に対して抱いている信頼に見合う正当な注意を払うことが望ましい。専門家としての正当な注意をもって業務を行う場合の重要な点は、全ての監査状況において根拠ある判断を行う能力をもつことである。
d) 機密保持:情報のセキュリティ
監査員は、その任務において得た情報の利用及び保護について慎重であることが望ましい。 監査情報は、個人的利益のために、監査員又は監査依頼者によって不適切に、又は、被監査者の正統な利益に害をもたらす方法で使用しないことが望ましい。この概念は、取扱いに注意を要する又は機密性のある情報の適切な取扱いを含む。
e) 独立性:監査の公平性及び監査結論の客観性の基礎
監査員は、実行可能な限り監査の対象となる活動から独立した立場にあり、全ての場合において偏り及び利害抵触がない形で行動することが望ましい。内部監査では、監査員は監査の対象となる機能の運営管理者から独立した立場にあることが望ましい。監査員は、監査所見及び監査結論が監査証拠だけに基づくことを確実にするために、監査プロセス中、終始一貫して客観性を維持することが望ましい。小規模の組織においては、内部監査員が監査の対象となる活動から完全に独立していることは難しい場合もあるが、偏りをなくし、客観性を保つあらゆる努力を行うことが望ましい。
f) 証拠に基づくアプローチ:体系的な監査プロセスにおいて、信頼性及び再現性のある監査結論に到達するための合理的な方法
監査証拠は、検証可能なものであることが望ましい。監査は限られた時間及び資源で行われるので、監査証拠は、一般的に、入手可能な情報からのサンプルに基づくであろう。監査結論にどれだけの信頼をおけるかということと密接に関係しているため、サンプリングを適切に活用することが望ましい。