平成30年に経済産業省から出されたシステム監査基準について記載します。
内容の正確性は、保証できないので原文をご確認ください。
システム監査基準とは
システム監査基準とは、システム監査人の行動規範を、5つの基準群と12の基準によりまとめたもの。
5つの基準群は以下の通り。
I. システム監査の体制整備に係る基準
II. システム監査人の独立性・客観性及び慎重な姿勢に係る基準
III. システム監査計画策定に係る基準
IV. システム監査実施に係る基準
V. システム監査報告とフォローアップに係る基準
システム監査は、情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証または助言を与える監査の一つの形です。そのために、システム監査は専門性と客観性を備えたシステム監査人が基準と照らし合わせて点検・評価・検証を行います。
また、システム監査人は情報システムにまつわるリスクについても点検・評価・検証を行います。これらを通じて組織の目標達成に寄与し、利害関係者への説明責任を果たします。
このシステム監査人の行為規範がシステム監査基準です。これにより、情報システムのガバナンス、マネジメント、コントロールを点検・評価・検証するシステム監査業務の品質を確保します。
I.システム監査の体制整備に係る基準
【基準1】 システム監査人の権限と責任等の明確化
システム監査の実施に関しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、
文書化された規程等又は契約書等により明確に定められていなければならない。 1
ここでは、監査の実施に先立って、システム監査人の権限と責任を内部監査規程などによって明確にして周知することが規程されています。
解釈指針の中では、
- システム監査人の権限・責任などを内部監査規程などに文書化し、組織内の適切なレベルで承認を得ること。
- システム監査人を外部の専門事業者に委託する場合は、委託契約書に内容及び責任などを明確に定めておくこと。
が、書かれています。
【基準2】 監査能力の保持と向上
システム監査の品質を高め、組織体の状況やIT環境の変化などに対応して、
効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、
システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない。 2
システム監査の信頼性を保つためには、
- 専門的な観点
- 情報システム及びシステム監査の専門知識と技能
- 論知的思考能力
- コミュニケーション能力
などが必要です。
このため、システム監査人は継続的な研鑽を行う必要があります。
こちらも、解釈指針には下記のように書かれています。
- システム監査に対するニーズを十分に考慮して、適切な知識・技能をもつ者が監査を実施すること。
- システム監査の品質を高めるために、関連する知識・技能及び経営や関連法令などの幅広い知識を有することが望ましい。
- ロジカルな思考と表現の能力、プレゼンテーション技法やインタビュー技法が求められること。
- 環境変化をキャッチアップし、新しい技術・技能を習得し続けることに努めること。
【基準3】 システム監査に対するニーズの把握と品質の確保
システム監査の実施に際し、システム監査に対するニーズを十分に把握したうえでシステム監査業務を行い、
システム監査の品質が確保されるための体制を整備しなければならない。3
システム監査は依頼者のニーズを十分に把握する必要があります。
また、ニーズを見たいしているかどうかの品質確保の体制が必要です。
- システム監査は依頼者のニーズによって目的が決定され、対象が選択されること。
- 各種基準・ガイドライン等を適切に組み合わせて判断尺度とすることが望ましい。
- 内部評価、外部評価を定期定期に実施することが望ましい。
- システム監査を外部委託する場合は、品質管理体制を確認すること。
判断尺度を客観的に判断する基準としては、「システム管理基準」や「情報セキュリティ管理基準」が推奨されています。
内部評価時の参考としては「内部監査基準」や「内部監査の専門職的実施の国際基準」があります。
II.システム監査人の独立性・客観性及び慎重な姿勢に係る基準
【基準4】 システム監査人としての独立性と客観性の保持
システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で
監査が実施されているという外観に十分に配慮しなければならない。
また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない。4
システム監査は監査対象から独立した立場で実施され、システム監査人には客観的立場・公正な判断が求められます。
- システム監査人は監査対象部門から独立していること。
- システム監査を外部業者に委託する場合、担当者が委託元と利害関係があると独立性が壊れることに気を付けること。
- システム監査人には客観的立場で公正な判断を行う精神的な態度が求められること。
- システム監査人には高い倫理観が求められ、倫理観の高揚に努めること。
- システム監査人は専門知識と技能が不可欠であり、社会的視点からも公正な判断を行うこと。
ここでは「外観を呈する」という言葉がけっこうでてくるのですが、
要はそのように見える、という意味だと思うので結構省略しました。
気になる方は原文をご確認ください。
【基準5】 慎重な姿勢と倫理の保持
システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家としての慎重な姿勢で臨むとともに、倫理観を保持し、誠実に業務を実施しなければならない。5
システム監査人は慎重さをもって監査の品質確保・向上に挑みましょう。
- 誤った判断や誤解に基づく判断がないよう十分注意を払うこと。
- システム監査人は職業倫理の順守にも慎重さが要求されること。
- 業務上知り得た事項を自らの利益のために利用しないこと。
III.システム監査計画策定に係る基準
【基準6】 監査計画策定の全般的留意事項
システム監査人は、実施するシステム監査の目的を効果的かつ効率的に達成するために、
監査手続きの種類、実施時期、及び適用範囲等について、
適切な監査計画を立案しなければならない。
監査計画は、状況に応じて適時に変更できるように弾力的なものでなければならない。6
システム監査の監査計画は必要十分な時間をかける必要があります。
また、監査計画を元に進捗管理を行うとともに、適時見直しを行ってください。
- 中長期計画、年度計画、個別監査計画に分けて監査計画を策定すること。
- 前提とした状況が変化した場合には計画を修正する必要があること。
- 監査対象がガバナンス、マネジメント、コントロールのどれに関するものなのか考慮すること。
【基準7】 リスクの評価に基づく監査計画の策定
システム監査人は、システム監査を行う場合、
情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するリスクアプローチに基づいて、
監査計画を策定し、監査を実施しなければならない。7
システム監査を効果的かつ効率的に行うには、リスクアプローチ(リスクに基づく監査計画の策定)が必要です。
リスクアプローチには、リスクの影響が大きい監査対象に重点を置くアプローチと、
監査の結論を誤る恐れがある監査リスクを抑えるアプローチがあります。
- リスクの影響が大きい監査対象領域には重点的に、小さい領域には相応の監査資源を配分すること。
- 情報システムリスクは情報システム、情報、情報システム及び情報の管理に係るリスクに大別されること。
- 情報システムに係るリスク:IT戦略と業務プロセスとの不整合など
- 情報に係るリスク:情報の機密性、完全性、可用性が確保できないなど
- 情報システム及び情報の管理に係るリスク:上記2つに対処する体制・手続き等の不備など
- リスクの変化とその影響に留意すること。
- 不備を見逃して結論を出してしまうリスクを抑えるように計画を策定すること。
リスクの変化・影響の確認や、情報更新の手法については、統制自己評価(Self-Assessment : CSA)や
監査対象部門へのアンケート・インタビューがあります。
IV.システム監査実施に係る基準
【基準8】 監査証拠の入手と評価
システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続を実施し、
監査の結論を裏付けるための監査証拠を入手しなければならない。8
システム監査では入手した監査証拠を基に監査の結論が作られます。
そのためには、十分かつ適切な監査証拠の入手が必要不可欠です。
十分かつ適切な監査証拠とは、証拠としての量的な十分性と、確かめるべき事項に適合した説明力のある証拠のことです。
- 個別監査計画に基づいた監査手続を実施することによって監査証拠を入手すること。
- 監査手続きは、監査対象の実態を把握するための予備調査と、十分かつ適切な監査証拠を入手するための本調査に分けて行うこと。
- 監査手続きには下記のような技法を利用すること。
- チェックリスト法
- ドキュメントレビュー法
- インタビュー法
- ウォークスルー法
- 突合・照合法
- 現地調査法
- コンピュータ支援監査技法
- テストデータ法
- 監査モジュール法
- ペネトレーションテスト法
- 監査対象がアジャイル開発等のドキュメント作成に重きを置かない場合、監査証拠の入手は下記の点を考慮することが望ましい。
- 追加のドキュメント作成などの負荷をかけないように考慮すること。
- 追加のドキュメント作成の負荷をかけないように、自動化ツールの利用を検討すること。利用する場合は完全性、目的適合性、
改ざん・改変からの保護を考慮すること。 - 体裁が整っていないドキュメントでも監査証拠として使えることに留意すること。
- コミュケーションや情報共有の仕組みやルールが決まっていて順守されていることを確認すること。
- 通常は、監査目的に対して複数の監査手続を組み合わせて構成すること。
【基準9】 監査調書の作成と保管
システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、
監査調書を作成し、適切に保管しなければならない。9
監査のプロセスを記録して監査調書を作成します。
監査調書は適切に保管する必要があり、監査の結論の基礎となります。
- システム監査人は、客観性を確保するために監査調書を作成すること。
- 監査調書は基本的に以下の事項を含むこと。
- 監査実施者及び実施日時
- 監査の目的
- 実施した監査手続
- 入手した監査証拠
- 発見した事実と所見
- レビューアの氏名とレビュー日
- 監査調書の所見はシステム監査人の意見の根拠となることに留意すること。
- 監査調書は体系的に整理し、後日参照・活用できるように保管すること。
- 監査調書には重要情報や機密情報が含まれるので、不正アクセスや漏洩、改ざんに十分留意すること。
【基準10】 監査の結論の形成
システム監査人は、監査報告に先立って、監査調書の内容を詳細に検討し、
合理的な根拠に基づき、監査の結論を導かなければならない。10
システム監査人は監査調書に基づいて監査の結論を導きます。
監査の結論の報告は、合理的な根拠に基づいていなければなりません。
- システム監査人は十分かつ適切な監査証拠を入手し、合理的な根拠を固めること。
- システム監査人は、監査調書に基づいて合理的な根拠を固める必要があり、論理の飛躍がないようにすること。
- 監査調書の内容から明らかになった不備がある場合、その内容と重要性から優先順位をつけて指摘事項とするか判断すること。
- 指摘事項と判断した内容について、監査対象部門と意見交換や講評を通じて監査調書の所見や監査証拠の事実確認を行うこと。
V. システム監査報告とフォローアップに係る基準
【基準11】 監査報告書の作成と提出
システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、
遅滞なく監査の依頼者に提出しなければならない。11
システム監査人は監査報告書を理解しやすい形で報告することが重要です。
- システム監査報告書の作成に際しては、下記のことに留意すること。図表やグラフ、イラスト写真などを利用し、敵対的ではなく建設的なものにすること。
- 正確性
- 客観性
- 簡素性
- 明瞭性
- 理解容易性
- 適時性
- 依頼主が最高責任者である場合は、合わせて取締役会などのガバナンス機能を担う機関にも監査報告書を提出することが望ましい。
- 依頼主の了承を得たうえで監査報告書を監査対象に回付することが望ましい。指摘事項がある場合は該当箇所の回付を指摘部署に限定したり、関連する部署には回付したりする工夫を行うことが望ましい。
- システム監査報告書の内容は下記のように記載することが望ましい。
- 監査の概要
- 監査の目的
- 監査の対象
- 監査の実施期間
- 監査の実施者
- 監査手続きの概要
- 監査の結論
- 指摘事項と改善勧告がある場合は対応するように記載すること。
- 指摘事項は根拠と穴った事項とあわせて記載すること。
- 改善勧告は重要度や緊急度を区別して記載すること。対応責任部署を明確にすること。
- 改善勧告は期待される効果なども記載すること。
- 保証と助言をあわせて行う場合は、助言は別途個別の報告書を作成すること。
- その他特記事項
- IT戦略や投資方針、システム運用体制の変更や重大な障害の発生など別途注意すべき事項が発生した場合は、その他特記すべき事項として記載すること。
- 監査の概要
- 外部からシステム監査報告書の提示又は開示要請があった場合は、依頼人に了承を得たうえで、開示範囲や契約上の義務を勘案して慎重に対応すること。
【基準12】 改善提案のフォローアップ
システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、
適時に講じられているかどうかを確認するために、
改善計画及びその実施状況に関する情報を収集し、
改善をモニタリングしなければならない。12
監査報告書に改善提案を記載した場合は、改善事項が適切かつ適時実施されているのか確認する必要があります。
このとき、システム監査人は改善の実施そのものではなく、実施のフォローアップと依頼者への報告に責任を持つことになります。
- システム監査人は改善提案対象の部門から改善計画書を受領し、なおかつ適宜実施状況の報告書を受領しモニタリングすること。
- システム監査人による改善計画の策定及び実行への関与は、独立性と客観性を損なうため避けること。
- 改善実施状況報告書により追加の検証や次回の監査に反映するべき点がないか検討することが望ましい。
- 改善策が不十分または放置される場合は再度の改善対応を要請すること。合わせて経営陣に報告すること。
- フォローアップ後にフォローアップ報告書を作成して経営陣に報告すること。及び対象部門や改善責任部門に回付すること。