情報処理技術者試験対策のページ>午前対策 目次
マネジメント系 サービスマネジメント システム監査
システム監査
- システム監査の意義と目的
-
システム監査は、監査対象から独立した立場で行う情報システムの監査であり、原則として情報システムが”システム管理基準”に準拠しているかどうかを確かめるためのもので、システムの企画・開発・運用・保守に責任を負うものではない
- 組織体がシステム監査を実施する目的
情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与する
- 次の4項目が適切にコントロールされていることを総合的に点検・評価すること
- 情報システムが、組織体の経営方針および戦略目標の実現に貢献している
- 情報システムが、組織体の目的を実現するよう安全、有効かつ効率的に機能している
- 情報システムが、内部又は外部に報告する情報の信頼性が保たれるように機能している
- 情報システムが、関連法令、契約又は内部規定等に準拠している
- システム監査の対象業務
-
システム監査の対象部門、対象業務は、事前調査によってリスクの高い部門や業務を見極めて選ぶ
- リスクアセスメントに基づく監査対象の選定
問題発生の可能性とその影響の大きなシステムを対象とする
- システム監査の対象
- 統制
- 外部統制
法律、条例などによる外部からのコントロール
- 内部統制
組織体が自発的に構築した仕組みによるコントロール
- 情報資源に対する
- 内部統制
情報資産の信頼性、安全性、効率性を確保、向上させるために設定された制度、組織、規準、手続きを総称するもの
- 全般統制
情報システムの全体にわたるコントロール
- 業務処理統制
個々の業務システムに特有なコントロール
- システムの可監査性
-
処理の正当性や内部統制を効果的に監査できるように情報システムが設計・運用されていること
-
コントロールの有効性を監査できるように、情報システムが設計・運用されていること
- システム監査人の要件
- 監査対象から独立かつ専門的な立場から情報システムのコントロールの整備、運用を検証又は評価し、保証又は助言を行う
- システム監査人の独立性
- 外観上の独立性:組織面で独立している
- 精神上の独立性:監査意見が特定の人や組織の意向に左右されない
- システム監査人の独立性が保たれている状況
監査法人からシステム監査人を採用して内部監査人に位置づけ、社内の業務システム開発についての監査を行わせる
- 情報システムの運用状況を監査する場合、監査人として適切な立場の者
監査対象システムに関わっていないもの
- 経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置
-
システム監査人の所属部署を経営者の直轄とする
- 組織的な独立の他、過去の自己の業務に対する監査とならないか、被監査部門の長が監査人の元上司でないか、なども考慮する
- 独立性の観点から問題となるもの
-
監査チームメンバに任命された総務部のAさんが、他のメンバと一緒に、総務部の入退室管理の状況を確認する
- 独立性の観点から問題とならない
- 監査部に所属しているBさんが、個人情報を取り扱う業務を委託している外部企業の個人情報管理状況を監査する
- 情報システム部の開発管理者から5年前に監査部に異動したCさんが、情報システム部が行っているインターネット管理の状況を監査する
- 法務部に所属しているDさんが、監査部からの依頼によって、外部委託契約の妥当性の監査において、監査人に協力する
-
適格性
- 公正不偏な態度
- 正当な注意義務、守秘義務
- 監査に関する知識や能力
-
監査人の選定にあたっての留意点
開発部門や利用部門からは独立した立場にあり、自らの判断に責任を持って監査の実施と客観的な評価ができる人を選ぶ
-
公認会計士が任意の業務としてシステム監査を実施する場合がある
- システム監査人は監査報告書に記載した監査意見に対して責任を負う
- 監査において発見した問題に対するシステム監査人の責任
発見した問題を監査依頼者に報告する
- システム監査計画
- 監査目的の明確化
- 経営との整合性確認
- 業務上の問題点の考慮
- 監査の継続性
- 資源の制約
- 監査手順書(監査手続き書)
-
監査計画の段階で作成されるものであり、監査手続きと実施記録の記載欄から構成される
-
監査証拠を入手するために作成されるが、システム監査担当者の指導監督を行うための有効な手段にもなる
- 本調査における具体的な監査の進め方を示す
- 監査業務の進捗管理に用いることができる
- 基本計画書で重点監査テーマを設定する
- 個別計画書の記載内容
- 監査目的
- 監査対象
- 監査範囲
- 監査目標
- 監査手続
- 監査時期及び監査日程
個別計画書に記述される監査時期、監査日程には、本調査だけでなく、予備調査や監査結果の報告会、フォローアップも含める
- 監査責任者及び業務分担
- 被監査部門責任者及び被監査部門担当者
- 他監査との連携及び調整
- 報告時期
- 監査コスト
- 監査リスクモデル
-
監査人が、監査リスクを一定水準以下に抑えることを目標に監査計画を立てるリスクアプローチ
-
固有リスクと統制リスクを評価し、その高低に応じて発見リスクの水準を決める
-
監査リスク=固有リスク × 統制リスク × 発見リスク
- リスクアプローチに基づく監査
固有リスクと統制リスクのレベルが高く、その結果許容できる発見リスクを低く抑えなければならない場合、監査手続きを決めるに当たって監査人が採用すべき対応:外部証拠の入手範囲の拡大
- システム監査の実施
- 実施準備
- 個別計画書の内容を確認する
- 被監査部門に対する事前通知
- 予備調査
- 予備調査で行う作業
-
監査対象の実態把握
-
”システム監査基準”の定める予備調査
本調査に先立って、監査対象業務の実態を把握するために行う調査
-
アンケート調査を行い、監査対象に対する被監査部門の管理者及び担当者のリスクの認識についての情報を収集する
- 不正アクセス防止に関する取組状況を監査する場合、予備調査において、システム設計書によって、アクセスコントロール機能の内容を把握する
- 監査対象に対する被監査部門の管理者及び担当者のリスクの認識について、アンケート調査によって情報を収集する
- 本調査
- 本調査の作業手順は、現状の確認、監査証拠の入手、証拠能力の評価の順に行う
- 質問書
監査の質及び効率を確保するために、標準の質問書を一部修正して利用するとよい
- ヒアリング
-
ヒアリングの結果、問題と思われる事項を発見した場合は、その裏づけとなる記録の入手や現場確認を行う
- ヒアリングに関するシステム監査人の行為
ヒアリングで被監査部門から聞いた話を裏付けるための文書や記録を入手するよう務める
- 評価・結論
- 本調査の結果に基づいて評価・結論を検討する
- 監査チェックリストの内容を検討して、問題として指摘する事項、評価できる項目に区分けして結論付ける
- 評価は監査証拠に基づいて公平な判断基準に則って行う
- 指摘事項
- 監査人が判断基準に照らし合わせて問題と認めた事項のすべてを列挙する
- 評価できる事項は指摘事項に含まれない
- 改善勧告
- 指摘事項の中から特に重要な事項を選択して改善を求める事項
- 緊急改善勧告
- そのまま放置できない重要な問題で、緊急に改善を必要とするもので、おおむね半年以内で実行するような事項
- 通常改善勧告
- それほどの緊急度を要しないが、改善の必要性のあるもの
- 被監査部門は計画的に作業を進めていく必要がある
- システム監査実施上のリスク
- 監査手続が実態と合っておらず、監査目的を達成できない
- システム監査技術者の能力不足で、必要な監査証拠を入手できない
- 現場が非協力的で監査がスムーズにできない
- 監査の期間と費用が予算を大幅に上回ってしまう
- システム監査の報告
- 指摘事項の適格性
- 監査目的への適合性
- 指摘事項の優先順位
- 監査証拠による裏付け
- 被監査部門、関係部門との意見交換
- 関連法規、ガイドラインなどへの準拠性
- システム監査結果の数値による評価
監査項目ごとに評価基準を設け、その乖離度を数値化し、総合評価は加重平均で行う
- システム監査報告書
- システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針
経営資源の状況を踏まえて改善を実施する
- 監査の結果を権限者に報告する文書であり、システム監査人が問題ありと判断した事項は、指摘事項として全て記載する
- システム監査報告書に記載された改善勧告に対する監査人の取組み
-
改善勧告に対する改善実施状況を確認する
- 発見事項と意見を明確に区分する
- 監査意見
- 保証意見:コントロールが有効に機能していることを保証する意見表明
- 例
- 販売管理システムに係る信頼性のコントロールは、システム管理基準に照らして、指摘事項に挙げた不備を除いて有効に機能している
- 助言意見:欠陥の指摘と改善提言を行う意見表明
- 例
- 販売管理システムに係る安全性のコントロールに重大な不備があり、改善提案のように改善すべきである
-
販売管理システムに係る効率性のコントロールは、業務処理に重大な影響を与える可能性があり、緊急の改善が必要である
-
販売管理システムに係る信頼性のコントロールについて、被監査部門と合意した手続きによって調査を行った結果を、指摘事項として挙げた
- フォローアップ活動
-
フォローアップ方法
- 改善計画及び改善報告書の提出
- 次回監査での確認
- フォローアップ監査の実施
-
被監査部門の改善活動状況において、計画通りに行われているかどうかを定期的に確認する
-
業務改善そのものは被監査側が実施する
- システム監査の品質評価.
- 計画の品質管理
- 監査手続書のレビュー
- 個別計画に準拠しているか
- 監査手続は効果的かつ効率的か
- 実施内容の品質管理
- 監査調書のレビュー
- 個別計画書及び監査手続書に準拠しているか
- 監査調書として的確か
- 意見表明過程は十分な根拠に基づいて行われているか
- 監査調書に記載された事実は監査証拠として必要十分か
- 監査担当者間で意見の整合性はとられているか
- 総合評価は監査目的に適合しているか
- 改善勧告は妥当な内容になっているか
- システム監査基準
- システム監査基準の役割
-
監査人の行為規範を定める
-
システム監査業務の品質を確保し、有効かつ効率的に監査を実施することを目的とした監査人の行動規範
- システム監査の目的
- 組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを評価する
- 独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与する
- 一般基準
-
目的・権限と責任
- 役割と権限
システム監査人は、システム管理者に対して監査の実施に協力するよう要請できる
-
独立性、客観性と職業倫理
- システム監査人の精神上の独立性
偏向を排し、常に公平性かつ客観的に監査判断を行う
- 職業倫理
システム監査は、企業の内部監査として実施されるものであり、企業の利益保護の立場から監査判断を行う
-
専門能力
-
業務上の義務
監査目的に応じた監査報告書を作成し、遅滞なく監査依頼者に提出する
-
品質管理
- 実施基準
- 監査計画の立案
- 監査の手順
- 予備調査
- 本調査
- 現状の確認
- 監査証拠の入手
- 証拠能力の評価
- 評価・結論
- 監査の実施
- システム監査の実施手順
- 監査目的の設定
- 監査対象業務の把握
- 監査手続書の作成
- 証拠の収集
- コントロールの評価・結論
- 監査業務の体制
-
監査依頼者が監査報告に基づく改善指示を行えるように、システム監査人は監査結果を監査依頼者に報告する
- システム監査規程の最終的な承認者
経営者
- 社内におけるシステム監査実施部門の位置づけ
- システム監査組織の形態
- 独立したシステム監査部門型
- 委員会型
- プロジェクトチーム型
- 外部機関へのアウトソーシング型
- 他の専門職の利用
- 情報セキュリティ監査
- 報告基準
- 監査報告書の提出と開示
- 監査報告の根拠
- 監査報告書の記載事項
- 監査報告についての責任
- 監査報告に基づく改善指導
- システム監査技法
- チェックリスト法
監査人がチェック項目をリストアップして使用する
- ドキュメントレビュー法
文書の内容を確認する
- 突合法、照合法
- 現地調査法
被監査部門に出掛けて直接その実態を観察する
- インタビュー法
被監査部門の管理者や担当者に直接質問を行って実態を確認する
- 統計的サンプリング法
-
サンプルの抽出に無作為抽出法を用い、サンプルの監査結果に基づく母集団に関する結論を出すにあたって、確率論の考え方を用いる
-
コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる
- 許容誤謬率
サンプルの件数を決めるときに用いるものであって、監査人が受け入れることのできる所定の内部統制からの逸脱率である
- サンプリングリスク
サンプルが母集団の特性を正確に反映しないために、監査人が母集団について誤った結論を行うリスク
- 母集団
監査の対象となる集団の全体のこと
- アンケート
- 監査対象部門から対象者を選び、監査テーマについて監査人が作成した質問に答えてもらう
- 予備調査で状況確認などに用いる
- 監査手続
-
監査項目について、十分な証拠を入手するための手順
- コントロールの点検、評価を行うために実施する
- 分類
- 精査:全件に対して監査手続を適用する
- 試査:一部に対して監査手続を適用する
- 監査証拠
-
種類
- 物理的証拠:システム監査人自らが検証したもの
- 文書的証拠:システム監査人が内容を検証した文書的、電磁的記録物
- 口頭的証拠:システム監査人が証拠になると判断した証言、説明
- 状況的証拠:システム監査人自らが観察した状況
-
監査意見を立証するために必要な事実
-
必要に応じて被監査部門から入手した証拠資料を添付する
-
被監査部門以外の第三者から入手した文書は、被監査部門から入手した同種の文書よりも監査証拠としての証明力が強い
-
監査人が収集又は作成する資料であり、監査報告書に記載する監査意見や指摘事項は、その資料によって裏付けられていなければならない
- 証拠能力(1:強→4:弱)
- システム監査人が取引記録と実際の在庫とを照合した結果
- テストデータ法によって得られた処理結果
- システム監査人がシステムテストに関するドキュメントをレビューした結果
- 運用担当者が記録したシステム運用に関するメモ
- 監査証拠となるもの
- システム監査チームが被監査部門から入手したシステム運用記録
- 監査証拠とならないもの
- システム監査チームが監査意見を取りまとめるためのミーティングの議事録
- システム監査チームが監査報告書に記載した指摘事項
- システム監査チームが作成した個別監査計画書
- 監査調書
-
システム監査人が行った監査手続きの実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの
-
必要に応じて被監査部門から入手した証拠資料を添付して保管する
- 監査証跡
-
運用環境を含めた監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録
-
処理過程をすべて記録・保存しておくことは経済性・効率性を損なう可能性があるので、必要十分な監査証跡を決定し、確保することが大切である
-
監査証跡の例
- イントラネットシステムの運用業務の監査証跡
Webサーバへのアクセスログ
- 情報システムの安全性のコントロールに関係する監査証跡
アクセスログ
- システム運用業務(オペレーション)に関するシステム監査証跡
出力情報のエラー状況に関する記録
- 内部監査で求められる事項
- 監査の対象となるプロセスや領域の状況、重要性、前回までの監査結果などを考慮し、監査プログラムを策定しなければならない
- 監査の基準、範囲、頻度、方法を定義しなければならない
- 監査員の選定と監査の実施においては、監査プロセスの客観性と公平性を確実にしなければならない
- 監査の計画や実施、及び結果報告と記録維持に関する責任と要求事項を、文書化した手順の中で定義しなければならない
- 監査対象の領域に責任を持つ管理者は、発見された不適合やその原因が遅滞なく除去されるようにしなければならない
- 監査のフォローアップには、採った処置の検証及び検証結果の報告を含めなければならない
- 内部監査として実施したシステム監査で、問題点を検出後、改善勧告を行うまでの間に監査人が考慮すべき事項
監査人からの一方的な改善提案は実行不可能なものとなるおそれがあるので、改善勧告の前に、改善策について被監査部門との間で協議する場をもつ
- 内部監査とシステム監査の関係
ソフトウェアの品質確保の観点から行うシステム監査は、ISO9001:2000の内部監査に相当する場合がある
- 監査調書
- システム監査の実施内容を記録した資料
- システム監査人が監査の実施内容を記録した資料
- システム監査人が被監査部門から入手した文書
- 作成の留意点
- 真実性(内容が真実である)
- 立証性(監査意見を立証)
- 完全性(監査プロセス全体を文書化)
- 秩序性(記載事項が体系的に整理されている)
- 明解性(記載内容が完結で明瞭である)
- 経済性(費用対効果を考慮した監査である)
- 現時性(実施時点で逐次作成)
- 助言型監査
- 監査対象の情報システムに関するリスクに対するコントロールの改善を目的として、コントロールの問題点を検出し、改善提言を監査意見として表明する形態の監査
- 保証型監査
- 監査手続きを実施した限りにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査
- システム監査を保証型で行う目的
外部利害関係者からの信頼獲得
- システム監査のチェックポイント
- システム設計の段階において、ユーザ要件が充足されないリスクを低減するコントロールを監査するときのチェックポイント
利用部門が参画して、システム設計書のレビューを行なっていること
- ドキュメント管理において、稼働しているシステムの仕様とドキュメントの内容が一致しないリスクを低減するコントロールのチェックポイント
プログラム変更に伴い、ドキュメントを遅滞なく更新すること
- ソースコードのバージョン管理システムが導入された場合に、システム監査において、ソースコードの機密性のチェックポイント
バージョン管理システムのアクセスコントロールの設定が適切であること
- 経済産業省の”営業秘密管理指針”に基づく営業秘密データの管理状況に突いて監査を行うとき、秘密管理性のチェックポイント
当該データの記録媒体に秘密を意味する表示をしていること
-
システムテストの監査におけるチェックポイント
例外ケースや異常ケースを想定したテストが行われていること
- コンピュータ支援監査技法(CAAT)
- コンピュータを利用して行うシステム監査技法
| 技法 |
主な機能 |
システムの
テスト |
稼働中
オンライン
システムの
テスト |
プログラム
ロジックの
分析 |
プログラムの
検証 |
データの
抽出 |
稼働中の
オンライン
システム
からの
データ抽出 |
| テストデータ法 |
○ |
|
|
|
|
|
| 汎用監査ソフトウェア法 |
|
|
|
|
○ |
|
| 組込み監査モジュール法 |
|
|
|
|
○ |
○ |
| ITF法 |
○ |
○ |
|
|
|
|
| 並行シミュレーション法 |
○ |
|
○ |
|
|
|
| スナップショット法 |
|
|
○ |
|
|
|
| トレーシング法 |
|
|
○ |
|
|
|
| コード比較法 |
|
|
|
○ |
|
|
- テストデータ法
テストデータを作成し、あらかじめ計算しておいたとおりの結果が出力されるかどうかを検証する
システムが設計通り動いているかどうかを検証する
- 汎用監査ソフトウェア法(監査プログラム法)
コンピュータシステムに記憶されている監査対象データを検索・抽出し、比較・加工・集計などの演算を行って編集し、結果を報告書として出力することができるように開発されたソフトウェアを利用する監査技法
- 組込み監査モジュール法
本番業務処理システムの中に監査モニタルーチンを組み込み、監査対象となる適用業務システムを通過する取引について監視する
- ITF法 ( Integrated Test Facility )
監査対象ファイルにシステム監査人用の口座を設け、実稼動中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、監査対象プログラムを検証する方法
- 並行シミュレーション法
監査人が用意した検証用プログラムと監査対象プログラムに同一のデータ(本番データ)を入力して、両者の実行結果を比較する方法
- スナップショット法
特定のデータが通過したり、一定の条件が成立したりした時点で、メモリの内容を出力することによって、本番環境下での処理の途中結果の妥当性を検証するシステム監査技法
- トレーシング法
プログラム処理経路を分析することによって、プログラム論理のフローの正確性・妥当性を検証する技法
- コード比較法
本番稼働後のプログラムの変更管理が正当に行われているかどうか調べるために、変更前と変更後のコードを比較し、その差異が設計・承認されたとおりのものとなっていることを確認する
- システム監査の事例
- 会計に関する監査
- コストセンタであるシステム部門において、システムコスト配賦の妥当性を確かめるための監査手続き
システム部門のシステムコストを、ユーザ部門に合理的な方法で配賦しているかどうかを確かめる
- 月末に売り上げ形状を行う販売情報システムにおいて、架空売り上げに対する監査上の判断
月初に前月分の売り上げ取消し件数が多いので、その原因を確かめた上で不正が行われていないかどうかを判断することにした
- 現金による回収以外の理由で売掛金が減少したとき、会計データベースを対象として原因を調査する適切な方法
貸方が”売掛金”で、借方が”現金”以外の勘定科目となっているデータを抽出し、その取引について、内容及び理由を確かめる
- 販売管理システムにおいて、起票された受注伝票が漏れなく、重複することなく入力されていることを確かめる監査手続
プルーフリストと受注伝票との照合が行われているか、プルーフリスト又は受注伝票上の照合印を確かめる
- セキュリティに関する監査
- ISMS認証基準(JIS Q 27001:2006)の詳細管理策を基に設定した、ノートPCに対する物理的安全対策の妥当性を確認するため、オフィス内を視察し、不在者のノート型PCが施錠されたキャビネットに保管されていることを確認する
- 情報セキュリティに関する従業員の責任について、”情報セキュリティ監査基準”に基づいて監査を行った
- 情報システムのコントロールの評価を整備状況の評価と運用状況の評価に分けたときのユーザのシステムへのログインパスワード管理
- 運用状況の評価
-
パスワードを管理しているファイルから抽出したサンプルについて、パスワードの設定状況を確認する
- 整備状況の評価
-
システム仕様書の承認ルールを閲覧して、パスワード管理方針に基づいた設計が行われていることを確認する
-
システム部門の責任者への質問によって、パスワード管理に関する会社の方針を確認する
-
パスワード管理マニュアルを閲覧して、パスワード設定ルールを確認する
- 指摘事項となるもの
-
雇用の終了をもって守秘責任が解消されることが、雇用契約に定められている
-
外部保管のために専門業者にバックアップテープを引き渡す際の安全性について、委託元担当者が、バックアップテープを段ボール箱に入れ、専門業者に引き渡している
- 指摘事項とならないもの
- 定められてた勤務時間以外においても守秘責任を負うことが、雇用契約に定められている
- 定められた守秘責任を果たさなかった場合、相応の措置が取られることが、雇用契約に定められている
- 定められた内容の守秘義務契約書に署名することが、雇用契約に定められている
- 外部保管のために専門業者にバックアップテープを引き渡す際の安全性について、委託元責任者が、一定期間ごとに、専門業者における媒体管理状況を確認している
- 外部保管のために専門業者にバックアップテープを引き渡す際の安全性について、委託元責任者が、専門業者との間で、機密保持条項を盛り込んだ業務委託契約を結んだ上で引き渡している
- 外部保管のために専門業者にバックアップテープを引き渡す際の安全性について、委託元担当者が、専用の記録簿に、引渡しの都度、日付と内容を記入し、専門業者から受領印をもらっている
- 情報システムに関する監査
- システムの有効性の監査
システムが計画通りに効果をもたらしているかどうかを評価する
- 情報システムの可用性監査において、システム障害報告書に基づき再発防止策の効果をレビューする手続
前期及び当期の障害原因別の障害発生件数と停止時間の比較
- データ管理に関する監査
-
適切なアクセスコントロールを行っているか確認する
- マスタファイル管理に関するシステム監査項目のうち可用性に該当するもの
マスタファイルがおかれているサーバを二重化し、耐障害性の向上を図っていること
- アクセス制御に関する監査
-
データに関するアクセス制御の管理状況を確認する
- アクセス権限を管理しているシステムの利用者IDリストから、退職による権限喪失者が削除されていることを検証する手続
人事発令簿の退職者の全件について、利用者IDリストから削除されていることを確認する
- テストに関する監査
- システムテスト(総合テスト)で使用するテストデータの作成に対する監査項目
テストチームが、業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか
- "システム管理基準"でいう、システムテストの総合テストで使用するテストデータの作成に対する監査項目
テストチームが、業務活動の中でシステムが使用されるケースを想定してテストデータを作成しているか
- 指摘事項となるもの
- システムテスト(総合テスト)について、本番と同様のデータファイルを使用してテストを実施している
- ユーザ受け入れテストの監査
- システム開発委託先(受託者)から委託元(委託者)に納品される成果物に対する受入れテストの適切性を確かめるシステム監査の要点
受託者から納品された成果物に対して、委託者が受入れテストを実施していること
- 指摘事項となるもの
-
システム部門だけでテストを行ない、テスト結果をその責任者が承認した
- 指摘事項とならないもの
- 当該業務に精通したユーザが参画してテストを行った
- ユーザ受け入れテストの実施環境は本番環境と隔離させた
- ユーザ要求をすべてテスト対象としたテストケースを設定した
- 請負契約に関する監査
- 外部委託した場合の品質管理の妥当性を確認するための監査項目
委託元は開発工程の決められた時点で成果物のレビューを行い、問題点が委託先によって解決されていることを確認しているか
- 指摘事項となるもの
- 委託元の管理者が委託先の開発担当者を指揮命令している
- 指摘事項とならないもの
- 委託した開発案件の品質を委託元の管理者が定期的にモニタリングしている
- 契約書に機密保持のための必要事項が盛り込まれている
- 特定の委託先との契約が長期化しているので、その妥当性を確認している
- 個人情報保護に関する監査
- 営業部門では、情報システムから出力した顧客リストを、全社で定めたルールどおりに取り扱っていないとの指摘を受けたとき、指摘事項に基づく改善計画の策定責任者
営業部門の責任者
- 個人情報の取得に関して、"JIS Q 15001:2006"における個人情報取得時の要求事項への準拠性を監査する
- 指摘事項となるもの
- Webサイトから注文するシステムにおいて、利用者が注文申込みボタンを押し、注文受付完了画面が表示された時点で、個人情報の利用目的を表示している
- 指摘事項とならないもの
- 営業担当者が、顧客から口頭で注文を受ける際、顧客に対して口頭で個人情報の利用目的を伝えている
- 商品購入者に商品を利用した感想を答えてもらうアンケートはがきに、個人情報の利用目的を記載している
- 通信販売コールセンタのオペレータが、電話で注文を受ける際、電話を通して顧客に個人情報の利用目的を伝えている
- 外部委託管理に関する監査
-
請負契約において、受託側要員が委託側の事務所に勤務している場合は、受託側のアクセス管理が妥当かどうかを委託側が監査できるように定める
- 経営破綻などによってソフトウェア資産のメンテナンスが受けられなくなることを防ぐために確認すべき契約項目
ソフトウェアのソースコードなどを第三者へ預託するエスクロウ条項
- システム開発を外部委託している部門が、委託先に対する進捗管理についてシステム監査を受ける場合、提出すべき資料
委託先から定期的に受領している業務報告及びその検証結果を示している資料
- プログラミングの信頼性に関する監査
- 指摘事項となるもの
-
プログラマは、プログラムの全てのロジックパスの中から、サンプリングで単体テスト項目を設定している
- 指摘事項とならないもの
- プログラマは、プログラム設計書に基づいてプログラミングを行なっている
- プログラミングチームのリーダは、単体テストの実施結果を記録し保管している
- プログラムを作成したプログラマ以外の第三者が、単体テストを行なっている
- データベースに関する監査
- データベースの監査ログを取得する目的
問題のあるデータ操作を事後に調査する
- データベースのインテグリティ監査
-
データベース資源へのアクセスをモニタリングする機能が組み込まれているかどうかを確認する
-
データベースのデータに不具合が発生した場合の障害回復手段が組み込まれているかどうか
- 事業継続計画(BCP)に関する監査
- 指摘事項となるもの
- 重要書類は複製せずに1か所で集中保管している
- すべての業務について、優先順位なしに同一水準のBCPを策定している
- 平時にはBCPを従業員に非公開としている
- 指摘事項とならないもの
- 従業員の緊急連絡先リストを作成し、最新版に更新している
- 内部統制に関する監査
- 規定が適切に定められていること
規定を確認する
- 規定が守られていること
申請書やログを付きあわせて確認する
- その他
- 情報戦略についてのシステム監査を行う場合、優先して監査すべき事項
経営戦略との整合性を考慮しているか
- ソフトウェアパッケージ購入に関する監査において監査人自身が行う手続き
ソフトウェアパッケージに適合するハードウェア性能の検討が行われていることを確認する
- システム開発プロジェクトにおける進捗管理の妥当性を確かめるための監査手続き
プロジェクト会議の議事録を閲覧し、開発スケジュールと現状との再分析を行い、問題に対して適切な対策が講じられていることを確かめる
- 顧客サービスの運用業務において、システム監査を受ける際の運用責任者の対応
トラブルに関しては、発生から復旧まで電子メールでやり取りした結果を保管し、管理表にはトラブルの対応、発生日および復旧日を記入するルールとなっている。監査人から内容を聞かれたので、電子メールの内容をルールに従って答えた
- EUCの監査
クライアントサーバ環境では、サーバ管理者の役割が重要なので、サーバ管理者に対するヒアリングは必須である
- 企業の内部監査の一環で実施されるシステム監査
システム部門以外の者が、システム部門での業務がルールどおりに実施されているかを、チェックシートを使用して確認した
- ソフトウェアの資産管理に対する監査のチェックポイント
ソフトウェアのライセンス証書などのエビデンスが保管されているか
- 指摘事項となるもの
- 新システムへの移行に関して、システム開発部門内に検証体制を作って移行結果の検証を行い、移行完了としていた場合、これは部門内での検証にとどまっており、運用・保守の責任者が確認できていないため指摘事項となる
- システム開発の基本設計工程におけるデザインレビューの参加者を、基本設計担当者、詳細設計担当者、及び開発チームリーダの3者としている
- A社のシステム開発課長の指揮監督下でB社のプログラマが開発する形態の契約を行う場合、派遣契約であり、B社のプログラマがA社の著作権を侵害した場合の措置に関する規定を設けておく必要がある
- 提案依頼書(RFP)によるベンダ選定手続きに関して、RFP発行後、問い合わせをしてきたITベンダに対して追加資料を提供していた
- 指摘事項とならないもの
- 新システムへの移行の際、移行作業と併せて、システム運用部門及びシステム利用部門に対する新システムの操作教育を計画し、実施していた
- 新システムへの移行の際、移行対象、移行方法、移行実施体制及び移行スケジュールを明記した以降計画に従って、移行作業を行った
- 新システムへの移行の際、移行ツールを利用して、データベースの移行及び移行結果の確認を行っていた
- 提案依頼書(RFP)に、システム化要求事項のほか、あるべき業務モデルも添付していた
- 提案を希望するITベンダを集めて、提案依頼書(RFP)説明会を実施していた
- 予算額の範囲を、提案依頼書(RFP)に明示していた
内部統制
- 内部統制の意義と目的
- 意義
- 目的
- 業務の有効性及び効率性
- 事業活動の目的を達成するために、業務の有効性及び効率性を高めること
-
例
製造現場での生産性の向上
- 財務報告の信頼性
- 財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
- 信頼性の確保のために会計監査体制を充実させる
- 法令等の遵守
- 資産の保全
-
資産の取得、信用、処分が正当な手続き及び承認のもとで行われるように、資産の保全を図ること
-
企業がその存続を図り、経営者や監査役がその責任を果たすためにも、資産の保全は必要不可欠である
- 内部統制の定義
- 内部統制は、経営者が組織目的の達成について合理的な保証を得るためのマネジメントプロセス
- 業務を遂行する上で違法行為や不正、ミスやエラーなどを防止し、組織が健全かつ有効・効率的に運営されるように基準や業務手続きを定め、管理・監視を行なうこと
- COSOレポートによる定義
「業務の有効性・効率性、財務諸表の信頼性、関連法規の遵守に分類される目的を達成するために、合理的な保証を提供することを意図した、取締役会、経営者及びそのほかの職員によって遂行される1つのプロセスである」
- 業務の有効性及び効率性、財務報告の信頼性、法令遵守、資産の保全を達成するために、企業内のすべての者によって遂行されるプロセスのこと
- 内部統制の基本要素
- リスクの評価と対応
- 情報と伝達
必要な情報が識別、把握及び処理され、組織の内外及び関係者相互に正しく伝えられること
- 統制環境
組織の価値基準、経営者の考え、組織風土、組織体制など
誠実性や倫理観、経営者の意向及び姿勢、経営方針及び経営戦略などが含まれる
- 統制活動
経営者の命令及び指示が適切に実行されることを確保するために定める方針及び手続き
受注から出荷に至る業務プロセスに組み込まれた処理結果の検証
- モニタリング
-
内部統制が有効に機能しているかどうかを継続的に評価するプロセス
-
日常的に業務で行われる日常的モニタリングと、日常から離れて行われる独立的評価がある
-
内部統制が有効に機能していることを継続的に評価するプロセス
- ITへの対応
IT環境への対応とITの利用及び統制を示す
- 内部統制報告制度
- ITガバナンス
-
企業が競争優位性を構築するために、IT戦略の策定・実行をガイドし、あるべき方向へ導く組織能力
-
ITを適切に活用する組織能力
- 内部統制の評価・改善
- 金融庁の”財務報告に係る内部統制の評価及び監査の基準”
- 内部統制に関係を有する者の役割と責任に関する記述
- 監査役は、取締役の職務の執行に対する監査の一環として、内部統制の整備及び運用状況を監視、検証する
- 内部監査人は、モニタリングの一環として、内部統制の整備及び運用状況を検討、評価し、必要に応じて、その改善を促す職務を担っている
- 内部統制の固有の限界
-
判断の誤り、不注意、複数の担当者による共謀によって有効に機能しなくなる場合がある
-
当初想定していなかった組織内外の環境の変化や非定型的な取引には必ずしも対応しない場合がある
-
ITの新技術の導入によって、従来のコントロールが効かなくなる
-
整備及び運用に際しては費用と便益の比較衡量が求められる
-
経営者が不当な目的のために内部統制を無視ないし無効ならしめることがある
- IT業務処理統制に該当するもの
利用部門によるエラーデータの修正と再処理
- ITに係る内部統制を評価し検証するシステム監査の対象となるもの
販売部が行っているデータベースの入力・更新における正確性確保の方法
- CSA(統制自己評価)
- リスクやコントロールの有効性について組織や業務の運営を担う人々が自らの活動を主観的に評価する
- 業務特有のリスクを発見しやすい反面、自己評価であるため評価が甘くなったり、客観的な評価が難しい
- コントロール
- コントロールの対象
- 会社の目的にそって企業内の活動が行われていること
- 組織のルールに従って企業内の活動が行われていること
- 社会の帰省に従って企業内の活動が行われていること
- コントロールの機能
- 予防牽制機能:通常の業務手続きの過程で、問題の生じる可能性のある行動や機械を事前に牽制し予防すること
- 誤謬摘示機能:問題が発生した場合、その旨をすみやかに検出し警告すること
- 修正回復機能:問題を検出した場合、それを原状回復し、組織体の活動に与える影響を最小限に留めること
- ファイルの正当性をコントロールする手段
- ファイルもしくはデータへのアクセス管理を行い、アクセスできる人を限定する
- 更新ログをチェックし、不正な更新が行われていないことを確認する
- ファイルをテープなどに保管し、その保管場所には特定の人しか入れないようにする
- 内部統制に関する体制
- 内部統制機能を構築するに当たって、仕事の役割分担や仕事の権限を明確にすること
職務分掌
- 内部統制の観点から、組織内の相互牽制の仕組みで、データのインテグリティが確保できる体制
情報システム部門は、データを入力する利用部門からの独立を保ち、利用部門がデータの正確性を維持できるようにしている
- 内部統制として効果的な職務の分離
開発部門のプログラマが運用部門のオペレータを兼務しない
- 内部統制の整備
- 適切
- 経営者は内部統制の整備と運用の責任をもっている
- 内部統制の運用については、組織の全員が自らの業務との関連において一定の役割を担っている
- 不適切
費用対効果にかかわらず、内部統制は整備すべきである
- 内部統制に関する手続き
- データ入力の重複を発見し、修正するのに有効な内部統制手続き
取引記録と入力データの照合
- 取引データの入力漏れがないことを確保するためのコントロール
取引データに連番をつけて、入力後に連番チェックを行う
- IT統制
- 予防統制
データ入力画面を、操作ミスを起こしにくいように設計する
データ入力担当者を限定し、アクセス権限を付与する
データ入力マニュアルを作成し、入力担当者に教育する
- 発見統制
データ入力の誤りや不正の発見統制はデータ入力結果の出力リストと入力伝票とを照合すること
データ入力結果の出力リストと入力伝票とを照合するI
- 金融商品取引法における内部統制
有価証券報告書提出会社のうち、上場会社や店頭登録会社は、財務報告にかかわる内部統制の有効性に関する経営者の評価を記載した内部統制報告書の作成、それに対する公認会計士や監査法人の監査証明が義務づけられている。また、上場有価証券の発行会社は、事業年度ごとに、内部統制報告書を有価証券報告書と合わせて、内閣総理大臣に提出しなければならない
- 会社法における内部統制
大会社とは、資本金5億円以上または負債200億円以上の株式会社である。この大会社が取締役会設置会社である場合には、取締役の職務を法令や定款に適合して行うための体制、及び株式会社の業務を適正に行うために必要なものとして法務省令に定める体制の整備について、取締役会が決定しなければならない
- 会社法・施行規則における内部統制に対する取締役等の責任
- 代表取締役は、取締役会で決定された内部統制システムの構築や運用についての善管注意義務を負っている
- 監査役は、事業報告において内部統制システムの整備に関する事項の内容が相当でないと認めるときは、その旨及びその理由を監査報告書に記載しなければならない
- 取締役は、株式会社に著しい損害を及ぼす恐れのある事実を発見したときは、直ちにその事実を株主に報告しなければならない。ただし、監査役設置会社においては、監査役に報告することになる
- 取締役会は、自ら決定した基本方針に基づいて、代表取締役等が適切に内部統制システムを構築し、運用しているかどうかを監査する責任がある
- 内部統制の例
-
情報システムに対する統制
- 全般統制
- サーバ室への入退室を制限・記録するための入退室管理システム
- システム開発業務を委託する際の委託先企業選定手順
- 不正アクセスを防止するためのファイアウォールの運用管理
- プログラム作成における上位者のロジックのレビュー
- 業務処理統制
販売管理システムにおける入力データの正当性チェック機能
-
営業債権管理業務に関する内部統制
- 適切
売掛金回収条件の設定は、営業部門ではなく、審査部門が行っている
- 不適切
- 売掛金の消込み入力と承認処理は、販売を担当した営業部門が行なっている
- 顧客ごとの与信限度の決定は、審査部門ではなく、営業部門の責任者が行なっている
- 値引き・割戻し処理は、取引先の実態を熟知している営業部門の担当者が行なっている
-
入出金管理システムから出力された入金データファイルを、売掛金管理システムが読み込んでマスタファイルを更新する入出金管理システムから、売掛金管理システムへのデータの受け渡しの正確性及び網羅性を確保するコントロール
入金額及び入金データ件数のコントロールトータルのチェック
-
Tを利用した業務処理のうち、ソフトウェアによる自動処理と人手による処理を組み合わせた統制
営業員が入力した発注金額がある額を超えると管理者の承認操作を必要とするので、取引内容の適切性が複数の目で確認できる