システム監査

<システム監査とは>

システム監査の意義・目的

• 意義

  • システム監査基準より

    • システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づいてITシステムの利活用に係る検証・評価を行い、監査結果の利用者にこれらのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査である

• 目的

  • システム監査基準より

    • システム監査は、情報システムにまつわるリスク(情報システムリスク)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する責任を果たすことを目的とする

  • 情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し、改善につなげることによって、ITガバナンスの実現に寄与するために実施する

  • 次の4項目が適切にコントロールされていることを総合的に点検・評価する

    • 情報システムが、組織体の経営方針および戦略目標の実現に貢献している
    • 情報システムが、組織体の目的を実現するよう安全、有効かつ効率的に機能している
    • 情報システムが、内部又は外部に報告する情報の信頼性が保たれるように機能している
    • 情報システムが、関連法令、契約又は内部規定等に準拠している

• 特徴

  • 組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されているかを評価する
  • 独立かつ専門的な立場のシステム監査人が検証又は評価する
  • 組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援する
  • 利害関係者に対する説明責任を果たす
  • システム監査は、監査対象から独立した立場で行う情報システムの監査であり、原則として情報システムが”システム管理基準”に準拠しているかどうかを確かめるためのもので、システムの企画・開発・運用・保守に責任を負うものではない

ITガバナンス

• システム管理基準による定義

  • 経営陣がステークホルダのニーズに基づき、組織の価値を高めるために実施する行動であり、情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力である

• 企業が適切に情報システム戦略を策定し、その戦略を実施する能力

• 企業は経営戦略を策定し、経営戦略に沿って情報システムを策定し、情報システム戦略に基づいて、情報システムの企画、開発、運用、保守を実施し管理する能力

• 企業に求められるもの

  • 顧客や従業員、取引先、投資家などのステークホルダに対して価値をもたらすこと

• 企業が競争優位性を構築するために、IT戦略の策定・実行をガイドし、あるべき方向へ導く組織能力

• 組織活動の目的を達成するために行う、業務とシステムの全体最適化手法

• ITが経営目的の達成のために有効に機能するようにコントロールすること

• 企業が適切に情報システム戦略を策定し、その戦略を実現する能力

• 経営陣が採用することが望ましい原則

  • 責任

    • 役割に責任を負う人は、その役割を遂行する権限を持つ

  • 戦略

    • 情報システム戦略は、情報システムの現在及び将来の能力を考慮して策定し、現在及び将来のニーズを満たす必要がある

  • 取得

    • 情報システムの導入は、短期・長期の両面で効果、リスク、資源のバランスが取れた意思決定に基づく必要がある

  • パフォーマンス

    • 情報システムは、現在及び将来のニーズを満たすサービスを提供する必要がある

  • 適合

    • 情報システムは、関連するすべての法律及び規制に適合する必要がある

  • 人間行動

    • 情報システムのパフォーマンスの維持にかかわる人間の行動を尊重する必要がある

コントロール

• 情報システムの特徴とコントロール

  • 特徴

    • 処理の大量性、処理の高速性、処理の均一性、処理の広域性
    • 情報化以前よりも厳密なコントロールが必要

  • デメリット

    • 情報化することで処理の均質化、厳密化が実現するということでコントロールが強化される側面もあるが、コントロール上の考慮が必要となるデメリットも発生する
    • 相互牽制機能の欠落
    • 記録の不可視化
    • 機密データの軽視
    • データ信頼度の低下

• 情報システムにまつわるコントロールの目的

  • 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
  • 情報システムが、組織体の目的を実現するように、安全、有効かつ効率的に機能するため
  • 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
  • 情報システムが、関連法令、契約又は内部規定等に準拠するようにするため

• コントロールの機能

  • 予防牽制機能

    • 通常の業務手続きの過程で、問題の生じる可能性のある行動や機械を事前に牽制し予防すること

  • 誤謬適示機能

    • もし問題が発生した場合、その旨を速やかに検出し警告すること

  • 修正回復機能

    • もし問題を検出した場合、それを修正回復し、組織体の活動に与える影響を最小限に留めること

• 例

  • 信頼性のコントロール

    • 情報システムの品質を向上させるための仕組み
    • 情報システムの障害発生を防止するための仕組み
    • 情報システムの障害時に迅速に回復させるための仕組み

  • 安全性のコントロール

    • ユーザID、パスワードなど必要な人だけが情報システムにアクセスできるような仕組み
    • その他不正アクセス、情報漏洩を防ぐ仕組み
    • 自然災害などの緊急時の対策

  • 効率性のコントロール

    • 経営目的とその適合性の観点からのコントロール

      • 経営目標実現のためのシステム化目標が明確になっているかチェックする仕組み
      • システム化計画に対する適切な評価が行える仕組み
      • 情報システムが経営目的に適合しているかどうかを事後的にチェックする仕組み

    • システム稼働状況の効率性の観点からのコントロール

      • 情報システムのコストパフォーマンス向上のためのチェックの仕組み
      • 情報システムが効率的に運用されているかどうかをチェックするための仕組み

  • 企業活動に対するコントロール

    • 外部統制

      • 外部からの社会的コントロール

    • 内部統制

      • 企業内で自ら行うコントロール

      • 内部牽制制度

        • 会社の業務を機能的に分割することによって各担当者が相互牽制し、不正・誤謬を未然に防止し、又は自発的に発見する仕組み

      • 内部監査制度

        • 内部監査担当者が内部監査規定に基づき、資産管理、会計管理、業務管理等が、それぞれの管理規定に従って十分に運用されているか否かについて監査し、これを報告書にまとめ経営責任者に報告する

システム監査の種類

• 保証型監査

  • コントロールが適切に機能していることを保証する監査

  • 監査対象たる情報システムにまつわるリスクに対するコントロールが、監査を実施した限りにおいて適切である旨を監査意見として表明する形態の監査

  • 監査手続きを実施した限りにおいて、監査対象の情報セキュリティに関するマネジメントやコントロールが適切であることを保証する監査

  • システム監査を保証型で行う目的

    • 外部利害関係者からの信頼獲得

• 助言型監査

  • 監査対象の情報システムに関するリスクに対するコントロールの改善を目的として、コントロールの問題点を検出し、改善提言を監査意見として表明する形態の監査
  • 監査対象の情報システムにまつわるリスクに対するコントロールの改善を目的として、監査対象たる情報システムにまつわるリスクに対するコントロール上の欠陥及び懸念事項等の問題点を検出し、必要に応じて当該検出に対した改善提言を監査意見として表明する形態の監査
  • コントロールのレベルが低い企業に対して最初から助言を目的として行う場合がある

システム監査人の要件・役割・権限

• 監査対象から独立的かつ客観的立場のシステム監査の専門家として情報システムを総合的に点検及び評価し、組織体の長に助言及び勧告するとともにフォローアップする

• 監査対象から独立かつ専門的な立場から情報システムのコントロールの整備、運用を検証又は評価し、保証又は助言を行う

• 情報システムが企業活動に対して健全に機能しているかどうかを監査することによって、情報システム部門にアドバイスを与える

• システム監査人は、システム管理者に対して監査の実施に協力するよう要請できる

• 監査人の選定にあたっての留意点

  • 開発部門や利用部門からは独立した立場にあり、自らの判断に責任を持って監査の実施と客観的な評価ができる人を選ぶ

• 公認会計士が任意の業務としてシステム監査を実施する場合がある

• システム監査人は監査報告書に記載した監査意見に対して責任を負う

• 監査において発見した問題に対するシステム監査人の責任

  • 発見した問題を監査依頼者に報告する

• 独立性

  • 外観上の独立性

    • 組織面で独立している

  • 精神上の独立性

    • 監査意見が特定の人や組織の意向に左右されない

  • システム監査人の独立性が保たれている状況

    • 監査法人からシステム監査人を採用して内部監査人に位置づけ、社内の業務システム開発についての監査を行わせる

  • 情報システムの運用状況を監査する場合、監査人として適切な立場の者

    • 監査対象システムに関わっていないもの

  • 経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置

    • システム監査人の所属部署を経営者の直轄とする
    • システム監査人の所属部署を内部監査部門とする
    • 組織的な独立の他、過去の自己の業務に対する監査とならないか、被監査部門の長が監査人の元上司でないか、なども考慮する

  • 情報システム部が開発し、経理部が運用している会計システムの運用状況を監査するシステム監査チームの体制

    • 独立性を担保するために、システム監査チームは情報システム部にも経理部にも所属しない者で組織しなければならない

  • 独立性の観点から問題となるもの

    • 監査チームメンバに任命された総務部のAさんが、他のメンバと一緒に、総務部の入退室管理の状況を監査する

  • 独立性の観点から問題とならない

    • 監査部に所属しているBさんが、個人情報を取り扱う業務を委託している外部企業の個人情報管理状況を監査する
    • 情報システム部の開発管理者から5年前に監査部に異動したCさんが、情報システム部が行っているインターネット管理の状況を監査する
    • 情報システム部の開発管理者から5年前に監査部に異動したCさんが、マーケティング部におけるインターネットの利用状況を監査する
    • 法務部に所属しているDさんが、監査部からの依頼によって、外部委託契約の妥当性の監査において、監査人に協力する

• 適格性

  • 公正不偏な態度

  • 客観的な立場で公正な判断を行う精神的な態度

  • 正当な注意義務、守秘義務

  • 監査に関する知識や能力

  • 高い倫理観と専門的な知識・技能を持っていること

  • 必要な知識

    • 情報システムとその管理
    • システム監査に関する基礎的な知識
    • 経営戦略
    • ガバナンス
    • リスク管理
    • 内部統制
    • 関連法令

• 実務経験

  • どのような点にリスクが存在するか、どのような技法を適用すれば効率的に監査が行えるかなどの勘所をつかむために必要

システム監査の対象

• 情報システムのガバナンス

  • 経営戦略とIT戦略との整合性、IT利活用の有効性、企業グループ全体としてみた場合のIT戦略の合理性

• 情報システムのマネジメント

  • 情報システムのサービスレベルの維持、より効率的な情報システムの維持管理、海外拠点に対するプライバシー規制等への対応状況

• 情報システムのコントロール

  • 情報システムに実装された機能要件が、業務要件の変化に対応して適切に維持管理が行われているかどうか

システム監査の対象業務

• システム監査の対象部門、対象業務は、事前調査によってリスクの高い部門や業務を見極めて選ぶ

• リスクアセスメントに基づく監査対象の選定

  • 問題発生の可能性とその影響の大きなシステムを対象とする

• システム監査の対象

  • 統制

    • 外部統制

      • 法律、条例などによる外部からのコントロール

    • 内部統制

      • 組織体が自発的に構築した仕組みによるコントロール

  • 情報資源

    • 内部統制

      • 情報資産の信頼性、安全性、効率性を確保、向上させるために設定された制度、組織、規準、手続きを総称するもの

    • 全般統制

      • 情報システムの全体にわたるコントロール

    • 業務処理統制

      • 個々の業務システムに特有なコントロール

システム監査の必要性

• 以下の観点からシステム監査が必要である

  • 内部監査、会計監査の一環として
  • 情報システムが経営戦略の実現にとって大きな要素であるため
  • 情報システムの安全な運用のため

情報システムの可監査性

• 情報システムが監査が可能であること

• 処理の正当性やコントロールの有効性、内部統制を効果的に監査できるように情報システムが設計・運用されていること

• 監査の実施が可能であるために必要な性質

  • コントロールが存在する
  • 監査証跡が存在する

監査証跡

• 運用環境を含めた監査対象システムの入力(事象の発生)から、れに対する作用、出力(結果)に至る過程を双方向で追跡できる一連の仕組みと記録

• 処理過程をすべて記録･保存しておくことは経済性・効率性を損なう可能性があるので、必要十分な監査証跡を決定し、確保することが大切である

• 役割

  • データの処理過程の追跡を可能にする
  • 監査意見を直接的に裏付ける監査証拠となる

• 監査証跡の例

  • イントラネットシステム

    • Webサーバへのアクセスログ

  • システム運用業務(オペレーション)

    • 出力情報のエラー状況に関する記録

  • 信頼性のコントロール

    • バッチコントロール票、テスト結果報告書、プログラムメンテナンス履歴簿、ハードウェアの障害ログ

  • 安全性のコントロール

    • アクセスログ、オペレーションログ

  • 効率性のコントロール

    • ユーザニーズ調査報告書、費用対効果分析表

• 留意点

  • 経済性、効率性の考慮
  • 見読可能性の提供
  • 承認行為の追跡
  • 保存期間、保存方法の妥当性

ディジタルフォレンジックス

• 不正アクセスやサービス妨害行為など、情報システムに関する犯罪や法的紛争・訴訟が生じた際に、原因究明や操作に必要な電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等についての分析・情報収集等を行う一連の科学的調査手法・技術の総称

• 証拠保全技術

  • ログ記録・保管技術
  • ハッシュ値やディジタル署名などで同一性を保全する技術

• 証拠収取技術

  • ファイル復元技術
  • 検索技術
  • 暗号化解除技術

• 証拠分析技術

  • 文書マイニング
  • 画像解析技術

内部監査

• 内部監査とシステム監査の関係

  • ソフトウェアの品質確保の観点から行うシステム監査は、ISO9001:2000の内部監査に相当する場合がある

• 内部監査として実施したシステム監査で、問題点を検出後、改善勧告を行うまでの間に監査人が考慮すべき事項

  • 監査人からの一方的な改善提案は実行不可能なものとなるおそれがあるので、改善勧告の前に、改善策について被監査部門との間で協議する場をもつ

• 監査の対象となるプロセスや領域の状況、重要性、前回までの監査結果などを考慮し、監査プログラムを策定しなければならない

• 監査の基準、範囲、頻度、方法を定義しなければならない

• 監査員の選定と監査の実施においては、監査プロセスの客観性と公平性を確実にしなければならない

• 一般にはプロジェクトから独立した所属組織の監査部署(品質保証部門やPMOなど)が実施する

• 監査の計画や実施、及び結果報告と記録維持に関する責任と要求事項を、文書化した手順の中で定義しなければならない

• 監査対象の領域に責任を持つ管理者は、発見された不適合やその原因が遅滞なく除去されるようにしなければならない

• 監査のフォローアップには、採った処置の検証及び検証結果の報告を含めなければならない

<システム監査の実施>

計画

• 体系、目的、時期

  • 監査計画の体系

    • 監査計画

      • 期間計画

        • 中長期計画

          • 3～5年単位

        • 年度計画

          • 年度単位

      • 個別計画

  • 監査計画策定の目的

    • システム監査を効率的に実施し、かつシステム監査の効果を高めること

    • 監査目的の明確化

      • システム監査を効果的にするためには、まずシステム監査が明確に設定されており、それが経営目的と合致していなければならない

    • 監査業務の効率化

      • 監査で使用する資源によって、どの程度のリスクを減らすことができるかを明確にして、監査方法を決定する必要がある

    • システム監査技術者の育成

      • 中長期の監査計画の中で人材の育成方針を定め、その方針に即した教育と経験を積ませる

  • 監査計画の必要性

    • 監査の網羅性と効率性を整合させ、有効性の高いシステム監査を実施するため

  • 監査目的の明確化

    • 経営との整合性確認
    • 業務上の問題点の考慮
    • 監査の継続性
    • 資源の制約

  • 監査手順書(監査手続き書)

    • 監査計画の段階で作成されるものであり、監査手続きと実施記録の記載欄から構成される
    • 監査証拠を入手するために作成されるが、システム監査担当者の指導監督を行うための有効な手段にもなる
    • 本調査における具体的な監査の進め方を示す
    • 監査業務の進捗管理に用いることができる

  • 基本計画書

    • 重点監査テーマを設定する

  • 監査リスクモデル

    • 監査人が、監査リスクを一定水準以下に抑えることを目標に監査計画を立てるリスクアプローチ

    • 固有リスクと統制リスクを評価し、その高低に応じて発見リスクの水準を決める

    • 監査リスク＝固有リスク × 統制リスク × 発見リスク

    • リスクアプローチに基づく監査

      • 固有リスクと統制リスクのレベルが高く、その結果許容できる発見リスクを低く抑えなければならない場合、監査手続きを決めるに当たって監査人が採用すべき対応：外部証拠の入手範囲の拡大

  • 監査時期の設定

    • 一過性の監査

      • 情報システムの企画や開発に関するシステム監査
      • 企画や開発のタイミングに合わせて適切な時期に行う

    • 定期的に実施する監査

      • 運用段階にあるシステムに対する監査
      • 運用の重要事項について実施する

    • 継続して実施する監査

      • システム対象が大きくて、一度にすべての監査を行うことができない場合には、そのシステムを機能や要素別に分割して、継続的に実施する
      • セキュリティ対策など全社共通のテーマについて部門別に継続的に監査を行う

• 中長期計画書

  • 中長期経営計画やシステム設計書に対応して、3年から5年単位で作成する

  • 中長期で検討する必要があるシステム監査の基本方針やシステム監査技術者育成の基本方針を決める

  • 中長期計画書の役割

    • システム監査活動の方向付け
    • 経営目標などの整合性
    • システム監査実施体制の整備

  • 中長期計画書の必要性

    • システム監査実施の優先度付け
    • システム開発の長期化
    • 被監査部門側の対応準備
    • システム監査技術者の育成計画
    • 外部専門家の活用

  • 中長期計画書の項目

    • 中長期の重点監査方針
    • 中長期の重点監査対象
    • 中長期の重点監査テーマ
    • 中長期のシステム監査技術者の人員計画
    • 中長期のシステム監査技術者の能力開発計画
    • 中長期の経費予算計画など

• 年度計画書

  • システム監査部門の年間の活動方針、活動内容、スケジュールなどを示したもの

  • 役割

    • システム監査部門としての年間活動の明確化
    • トップマネジメント、社内関係部門への連絡

  • 必要な内容

    • システム監査業務の明確化

    • 個人スケジュールの明示

    • 外部専門家の活用

    • 予算要求の基礎

      • 必要経費
      • 監査ツールなどの整備費
      • 外部委託費
      • その他

  • 立案上の勘案事項

    • 中長期計画書で予定されている当該年度の実施目標
    • 対応する年度の経営計画
    • 対応する年度の情報システム計画
    • 前年度のシステム監査の実施状況
    • トップマネジメントの意向
    • 情報システム部門、ユーザ部門の問題意識
    • 改善の緊急性
    • 問題の顕在化可能性
    • 監査対象、監査時期の重要性
    • 監査資源(要員、経費など)の利用可能状況

  • 記載項目

    • 当該年度の監査目的
    • 当該年度に監査を実施する対象(情報システム、業務など)
    • 重要監査テーマ(監査の着眼点の明確化)
    • 実施体制(監査担当者及び監査担当チームなどの明確化)
    • 実施スケジュール(監査対象ごとの日程の明確化)
    • システム監査技術者の採用・育成計画(教育内容、日程、OJTなど)
    • 当該年度の予算(システム監査業務遂行に必要な経費項目及び金額の明確化、社外専門家への委託経費など)
    • 自組織体の監査基準の見直し

• 個別計画書

  • 役割

    • 監査目的、監査目標の明確化
    • システム監査技術者の活動予定の明確化
    • 監査業務の進捗管理

  • 必要性

    • 監査目標に対する最適な監査手続きの選択
    • システム監査業務の標準化
    • 業務分担の円滑化
    • 進捗管理

  • 記載内容

    • 監査目的

    • 監査対象

    • 監査範囲

    • 監査目標

    • 監査手続

    • 監査時期及び監査日程

      • 個別計画書に記述される監査時期、監査日程には、本調査だけでなく、予備調査や監査結果の報告会、フォローアップも含める

    • 監査責任者及び業務分担

    • 被監査部門責任者及び被監査部門担当者

    • 他監査との連携及び調整

    • 報告時期

    • 監査コスト

  • 立案上の留意点

    • 個別計画の柔軟性
    • 作業工数などの基礎情報の収集
    • 社内外の専門家の活用
    • 定例的、継続的なシステム監査
    • 被監査部門との調整の必要性
    • 報告時期の決定

  • 妥当性の確保

    • 有用性のレビューポイント
    • 実現可能性のレビューポイント

実施

• システム監査実施の目的

  • システム監査は監査証拠を収集するために実施する

  • システム監査基準によるシステム監査の実施目的

    • システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続きを実施し、監査の結論を裏付けするために監査証拠を入手しなければならない

• システム監査実施上のリスク

  • 監査手続が実態と合っておらず、監査目的を達成できない
  • システム監査技術者の能力不足で、必要な監査証拠を入手できない
  • 現場が非協力的で監査がスムーズにできない
  • 監査の期間と費用が予算を大幅に上回ってしまう

• 監査証拠

  • 監査意見を立証する事実

  • 種類

    • 物理的証拠

      • システム監査人自らが検証した現物

    • 文書的証拠

      • システム監査人が内容を検証した文書的・電磁的記録物

    • 口頭的証拠

      • システム監査人が証拠になると判断した証言・説明

    • 状況的証拠

      • システム監査人自らが観察した状況

  • 入手方法

    • 監査手続きを適用して入手する

  • 留意点

    • 必要不可欠性

      • 収集しようとする監査証拠は、監査意見の立証、あるいは、監査目的の達成のために必要かつ不可欠なものであるか

    • 経済性

      • 収集しようとする監査証拠は、経済面で合理的な範囲で収集かのうなものであるか

    • 証拠能力の十分性

      • 収集しようとする監査証拠は、監査意見の立証、あるいは監査目的の達成のために十分な証拠能力を有しているものであるか

  • 監査意見を立証するために必要な事実

  • 監査人が監査手続きを実施して収集した資料を監査人の判断に基づいて評価した結果

  • 必要に応じて被監査部門から入手した証拠資料を添付する

  • 被監査部門以外の第三者から入手した文書は、被監査部門から入手した同種の文書よりも監査証拠としての証明力が強い

  • 監査人が収集又は作成する資料であり、監査報告書に記載する監査意見や指摘事項は、その資料によって裏付けられていなければならない

  • 現場調査では、監査人が見た実体と被監査部門からの説明を総合的に判断して、監査証拠とする

  • システム監査基準(平成30年)における"十分かつ適切な監査証拠"を説明したもの

    • 証拠としての量的十分性を備え、システム管理基準に適合し、かつ情報システムから出力された証拠

  • 種類

    • 物理的証拠：システム監査人自らが検証したもの
    • 文書的証拠：システム監査人が内容を検証した文書的、電磁的記録物
    • 口頭的証拠：システム監査人が証拠になると判断した証言、説明
    • 状況的証拠：システム監査人自らが観察した状況

  • 証拠能力(１：強→４：弱)

    1. システム監査人が取引記録と実際の在庫とを照合した結果
    2. テストデータ法によって得られた処理結果
    3. システム監査人がシステムテストに関するドキュメントをレビューした結果
    4. 運用担当者が記録したシステム運用に関するメモ

  • 監査証拠となるもの

    • システム監査チームが被監査部門から入手したシステム運用記録

  • 監査証拠とならないもの

    • システム監査チームが監査意見を取りまとめるためのミーティングの議事録
    • システム監査チームが監査報告書に記載した指摘事項
    • システム監査チームが作成した個別監査計画書

  • 監査証拠の入手

    • 適切ではないもの

      • アジャイル手法を用いたシステム開発プロジェクトにおいては、管理用ドキュメントとしての体制が整っているものだけが監査証拠として利用できる

    • 適切なもの

      • 外部委託業務実施拠点に対する現地調査が必要と考えたとき、委託先から入手した第三者の保証報告書に依拠できると判断すれば、現地調査を省略できる
      • 十分かつ適切な監査証拠を入手するための本調査の前に、監査対象の実態を把握するための予備調査を実施する
      • 一つの監査目的に対して、通常は、複数の監査手続きを組み合わせて監査を実施する

• システム監査の実施手順

  1. 実施準備
  2. 予備調査
  3. 本調査
  4. 評価・結論

• 実施準備

  • 個別計画書の内容を確認する

    • システム監査は個別計画に基づいて行われるので、実施前に個別計画書の内容をもう一度確認しておく必要がある

    • 確認内容

      • システム監査の背景、目的、対象、評価の視点及び手続
      • 監査チームの意思統一、役割分担の確認
      • 外部専門家への協力事項の明確化

  • 被監査部門に対する事前通知

    • システム監査を円滑に実施するためには、被監査部門の協力が不可欠であるため、被監査部門に事前連絡をするのが原則

    • 場合によっては事前説明会を開催にした方がよい場合もある

    • 連絡内容

      • 監査目的

      • スケジュール

      • 被監査部門に対する協力要請、準備を必要とする資料など

        • 準備すべきドキュメント
        • ヒアリング対象のアサイン

  • 抜き打ち的な検査

    • 重大な不正や法律違反などが想定される場合や、事前に通知すると業務の内容を意図的に変化させてしまうことが想定される場合に行う
    • システム監査計画立案の段階から、その内容が外部に漏れないように細心の注意を払う

• 予備調査

  • 目的

    • 本調査の前に被監査部門及び監査対象システムの概要を把握するために行う
    • 資料収集やヒアリングを行い、本調査を効果的に行うために必要な情報を収集する
    • 本調査の監査証拠の収集方法を確認する

  • 実施手順

    • 監査対象の現状分析

      • 監査対象業務及び監査対象システムについて、どのようなリスクやコントロールが存在するかを確認する

    • 現実の状態とあるべき状態の間の問題点の検討

      • 現状分析の結果と本来あるべき状態との間にどのような差異があるかを確認し、現状の問題点が何かを明確にする
      • 問題点における相互の関連性や共通性などを分析しておく

    • 計画した本調査の見直し

      • 洗い出したリスクやコントロール及び問題点の内容を検討した結果、必要であれば個別計画書に記述した本調査の内容を見直す

  • 実施方法

    • 関連文書・資料類のレビュー

      • 現在、進行中のプロジェクトからの文書、又は過去に構築した、もしくは現在運用しているシステム関連資料などをレビューして、その内容を調査する

    • チェックリストに対する回答

      • 監査の対象となるシステムや業務に関して簡潔に回答できるチェックリストや質問書を用意し、それに回答してもらい、内容をチェック、分析する

  • 留意点

    • 目標レベルの明確化(コントロールのレベル)

      • コントロールがどのレベルにあれば監査目標及び現在の状態に照らしても妥当であるかを予備調査の段階で明確にしておく

    • 潜在的問題点の存在

      • 予備調査の段階で、個別計画作成時には想定していなかった新たな問題が浮かび上がってくることがあるので、監査目標の達成上重要であると判断されるのであれば、監査計画の内容を見直しておく

    • 監査手続の詳細化、具体化

      • どのようなコントロールが存在するかを明確にした後、そのコントロールの妥当性をチェックするために、どのような監査手続きが必要になるかを検討し、詳細化、具体化して、監査手続書に記述しておくこと

  • 予備調査で行う作業

    • 監査対象の実態把握

    • 『システム監査基準』の定める予備調査

      • 本調査に先立って、監査対象業務の実態を把握するために行う調査

    • アンケート調査を行い、監査対象に対する被監査部門の管理者及び担当者のリスクの認識についての情報を収集する

    • 不正アクセス防止に関する取組状況を監査する場合、予備調査において、システム設計書によって、アクセスコントロール機能の内容を把握する

    • 監査対象に対する被監査部門の管理者及び担当者のリスクの認識について、アンケート調査によって情報を収集する

    • 被監査部門から事前に入手した資料を閲覧し、監査対象の実態を明確に把握する

    • 監査対象先の事務手続きやマニュアルなどを通じて、業務内容、業務分掌、体制などを把握する

    • システム監査において実施される"試査"

      • 抽出した一定件数のトランザクションデータに監査手続きを適用し、データ全件の正当性について判断する

• 監査手続

  • 監査項目について、十分かつ適切な根拠を入手するための手続

  • どのように監査を行うかを示したもの

  • 三つの側面

    • コントロールの点検・評価の過程
    • 監査証拠の入手の過程
    • 監査技法の選択適用の過程

  • コントロールの評価

    • 監査手続はコントロールの妥当性を点検・評価するために行う

    • 妥当性の判断基準

      • 準拠性テスト

        • コントロールが目標・計画、規定などの基準に完全に準拠しているかどうかを調べること

      • 実証性テスト

        • 監査対象に明確なコントロールが存在するかどうかと関係なく、直接監査目標を達成しているかどうかを検証すること

  • 適用範囲による監査手続きの分類

    • 精査

      • 監査対象項目の全件に対して監査手続きを適用すること

    • 試査

      • 監査対象項目の一部に対して監査手続を適用すること

      • 統計的サンプリング

        • 統計学の手法を利用したサンプリング

        • 例

          • 取引データを種類別に分類して、それぞれの数に応じて一定数をサンプリングする方法

      • 経験的サンプリング

        • 今までの経験をベースとしたサンプリング

        • 例

          • 経験的にエラーが多い取引が分かっている場合に、そのような取引を中心にサンプリングを行う

  • 監査手続を選択し、適用する際の留意点

    • 適時性

      • 適用時期は、個別計画書に沿っていなければならない
      • 監査目標を達成するために適切な時期でなければならない

    • 秩序性

      • システムによっては監査手続きの順序によって結果が変わるものがあるため、監査手続きは合理的な適用順序で行う必要がある

    • 経済性

      • 監査手続を実行するためにあまり多くの費用がかかることも好ましくないため、経済性も考慮して監査手続きを選択、適用しなければならない

• 監査手続書

  • 予備調査の結果、必要があれば個別監査計画の監査手続きを修正する

  • 個別の監査計画で述べられた監査手続きを実施できるレベルまで詳細にした監査手続書を作成する

  • 監査手続書を作成することにより、監査目的に合わせた合理的な証拠の入手がより確実になる

  • 監査手続書は監査の進捗管理の有効な手段として使用することもできる

  • 役割

    • 各システム監査人の行動を明確にするとともに、次回システム監査の参考資料としての役割ももつ

    • 各システム監査人の行動の明確化

      • 監査手続書を作成することにより、監査人の行動を具体的に定めることができる

    • 次回システム監査での参考資料

      • 監査手続書には監査人の行動が記述されているので、次回の監査を行う際に、監査手続を設計したり、その工数を見積もったりする場合の貴重な資料となる

  • 記載項目

    • 監査計画の段階で記述する項目

      • 監査目標
      • 監査技法
      • 適用時期
      • 適用対象
      • 適用範囲
      • 作業担当者
      • 予定作業時間

    • 監査の遂行中に記述する項目

      • 実施日付
      • 実施担当者署名
      • 実作業時間
      • 監査調書との参参照番号

• 監査技法

  • 基本的なシステム監査技法

    • ヒアリング

      • ヒアリングで被監査部門から得た情報を裏付けるための文書や記録を入手するよう努める

    • チェックリスト法

      • 監査人がチェック項目をリストアップして使用する
      • システム監査人が作成したチェックリストに対して、特定者より該当事項の有無やイエスやノーかの回答を求める方法
      • チェックリストの項目を適切に網羅するため、監査対象に精通したシステム監査技術者が作成し、回を重ねるたびにチェックリストを洗練されていく必要がある

    • ドキュメントレビュー法

      • 文書の内容を確認する
      • 監査対象の状況に関する監査証拠を入手するために、システム監査人が、関連する資料及び文書類を入手し、内容を点検する
      • 関連する資料、文書をシステム監査人が自ら調査する方法
      • ドキュメントの内容が最新の状態であるかの確認や、発見された事項を確かめるための追加インタビュー、現地視察になる場合も多い

    • 突合法、照合法

      • 関連する記録を相互に追き合わせたり、記録された最終結果の起因を示す原始データまでさかのぼって照合したりする方法

    • 現地調査法

      • 被監査部門に出掛けて直接その実態を観察する
      • システム監査人が被監査部門に赴き、そこでの作業状況を自ら調査する方法
      • 被監査部門の日常業務に支障を及ぼさないような配慮が必要となる
      • 現地の状況に応じて監査手続書の見直しが必要になる場合もある

    • 実査

      • システム監査人が測定などを実施すること

    • 立会

      • 担当者が実施する作業をシステム監査人が観察してその妥当性を調査すること

    • インタビュー法

      • 被監査部門の管理者や担当者に直接質問を行って実態を確認する

      • インタビューで監査対象部門から得た情報を裏付けるための文書や記録を入手するよう努める

      • 監査対象の実体を確かめたり、特定の事実や監査意見を立証するために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する方法

      • 回答の解釈に恣意性が入り込まないように、正確にインタビューを記録する

      • 正確で有効なインタビュー結果を得るための方法

        • インタビューの事実を裏付ける関連資料を収集する
        • 複数の人にインタビューを行い、事実・実態を把握する

    • 統計的サンプリング法

      • サンプルの抽出に無作為抽出法を用い、サンプルの監査結果に基づく母集団に関する結論を出すにあたって、確率論の考え方を用いる

      • コントロールが有効であると判断するために必要なサンプル件数を事前に決めることができる

      • 許容誤謬率

        • サンプルの件数を決めるときに用いるものであって、監査人が受け入れることのできる所定の内部統制からの逸脱率である

      • 許容逸脱率

        • 受け入れることができる所定の内部統制からの逸脱率であり、監査人がサンプルの件数を決めるときに用いられる指標

      • サンプリングリスク

        • サンプルが母集団の特性を正確に反映しないために、監査人が母集団について誤った結論を行うリスク

      • 母集団

        • 監査の対象となる集団の全体のこと

    • アンケート

      • 監査対象部門から対象者を選び、監査テーマについて監査人が作成した質問に答えてもらう
      • 予備調査で状況確認などに用いる

    • ウォークスルー法

      • データの生成から入力、処理、出力、利活用までのプロセス、及び組み込まれている一連のコントロールを、システム監査人が書面上で又は実際に追跡する技法

  • コンピュータ支援監査技法(CAAT;Computer Assisted Auditing Technique)

    • コンピュータを利用して行うシステム監査技法

      	主な機能	主な機能	主な機能	主な機能	主な機能	主な機能
      技法	システムのテスト	稼働中オンラインシステムのテスト	プログラムロジックの分析	プログラムの検証	データの抽出	稼働中オンラインシステムからのデータ抽出
      テストデータ法	○
      汎用監査ソフトウェア法					○
      組込み監査モジュール法					○	○
      ITF法	○	○
      並行シミュレーション法	○		○
      スナップショット法			○
      トレーシング法			○
      コード比較法				○

    • テストデータ法

      • テストデータを作成し、あらかじめ計算しておいたとおりの結果が出力されるかどうかを検証する
      • システムが設計通り動いているかどうかを検証する
      • テスト対象プログラムのロジックが本番で稼働しているものと同一であるかを確認
      • あらかじめシステム監査人が準備したテスト用データを監査対象プログラムで処理し、期待した結果が出力されるかどうか確かめる
      • 準備したテストデータを監査対象プログラムに入力し、期待された結果が出力されるかどうかでプログラムの正確性を確認する方法

    • 汎用監査ソフトウェア法(監査プログラム法)

      • 監査対象ファイルの検索、抽出、計算、統計的サンプリングなど、システム監査上使用頻度の高い機能に特化した、操作の簡単な汎用監査プログラムを利用する方法
      • コンピュータシステムに記憶されている監査対象データを検索・抽出し、比較・加工・集計などの演算を行って編集し、結果を報告書として出力することができるように開発されたソフトウェアを利用する監査技法

    • 組込み監査モジュール法

      • 本番業務処理システムの中に監査モニタルーチンを組み込み、監査対象となる適用業務システムを通過する取引について監視する
      • 監査機能を持ったモジュールを監査対象プログラムに組み込んで実環境下で実行し、抽出条件に合った例外データ、異常データなどを収集し、監査対象プログラム処理の正確性を検証する
      • 監査用のモジュールを本番プログラムに組み込むことにより本番処理中に監査用データの抽出を行う方法
      • 監査モジュールは、指定された条件に合ったデータの抽出や記録を行う

    • ITF法(Integrated Test Facility)

      • 監査対象ファイルの中に、システム監査人用の口座を作成し、その口座に対して各種の操作を行い、処理の正確性を検証する方法
      • 監査対象ファイルにシステム監査人用の口座を設け、実稼動中にテストデータを入力し、その結果をあらかじめ用意した正しい結果と照合して、監査対象プログラムの処理の正確性を検証する方法

    • 並行シミュレーション法

      • 監査目的の検証のために独自のプログラムをシステム監査人が準備し、そのプログラムと監査対象プログラムに対して同一のデータを入力して、両者の実行結果を比較して、監査対象プログラムの互換性を検証する方法
      • システム監査人が用意した検証用プログラムと監査対象プログラムに同一のデータ(本番データ)を入力し、両者の実行結果を比較することによって、監査対象プログラムの処理の正確性を検証する

    • スナップショット法

      • 特定のデータが通過したり、一定の条件が成立したりした時点で、メモリの内容を出力することによって、本番環境下での処理の途中結果の妥当性を検証するシステム監査技法
      • プログラムの検証したい部分を通過した時の状態を出力し、それらのデータを基に監査対象プログラムの処理の正確性を検証する
      • 監査対象のプログラムにあらかじめ設定したデータや条件によりメモリをダンプし、必要な情報を収集する方法

    • トレーシング法

      • 特定のトランザクションの処理を追跡して、監査対象プログラムの処理の正確性を検証したり、必要な情報を収集したりする方法
      • プログラム処理経路を分析することによって、プログラム論理のフローの正確性・妥当性を検証する技法

    • コード比較法

      • あらかじめシステム監査人によって検証されているプログラムと監査対象プログラムをソースコード、オブジェクトコードのレベルで比較し、監査対象プログラムの改ざんや変更の有無を確認する方法
      • 本番稼働後のプログラムの変更管理が正当に行われているかどうか調べるために、変更前と変更後のコードを比較し、その差異が設計・承認されたとおりのものとなっていることを確認する

  • 監査目的によっては、ユーティリティプログラム、アクセス管理用ソフトウェア、ジョブ会計機能などを活用する場合がある

• 本調査

  • 本調査の作業手順は、現状の確認、監査証拠の入手、証拠能力の評価の順に行う

  • 質問書

    • 監査の質及び効率を確保するために、標準の質問書を一部修正して利用するとよい

  • ヒアリング

    • ヒアリングの結果、問題と思われる事項を発見した場合は、その裏づけとなる記録の入手や現場確認を行う

    • ヒアリングに関するシステム監査人の行為

      • ヒアリングで被監査部門から聞いた話を裏付けるための文書や記録を入手するよう務める

  • 監査目的に照らして監査対象の調査、分析、検討を行うこと

  • 監査手続書に即して、必要な監査技法を監査対象に適用していく

  • 実施手順

    • 予備調査の結果を受けて監査対象の現状を確認し、監査証拠を収集して収集した監査証拠の証拠能力を検討したうえで、評価・結論を下す
    • 予備調査→現状の確認→監査証拠の収集→証拠能力の検証→評価・結論

  • 実施方法

    • 監査手続書に書かれている監査技法を使って行う
    • 一般的に、本調査で良く使用される監査技法は、現地調査法、インタビュー法、突合法、照合法、コンピュータを使用したシステム監査技法など

  • 留意点

    • 積極的に現地調査を行い、自分の目で確認する
    • 効率よく監査が行えるよう、事前に十分に準備を備える
    • 期待した情報が収集できないときは、監査手続きを適時見直す
    • 文書として残された監査調書のみが監査証拠となるため、調査を実施したら迅速にそれを記録する

• 評価・結論

  • 本調査の結果に基づいて評価・結論を検討する

  • 監査チェックリストの内容を検討して、問題として指摘する事項、評価できる項目に区分けして結論付ける

  • 評価は監査証拠に基づいて公平な判断基準に則って行う

  • 監査依頼者が監査報告に基づく改善指示を行えるように、システム監査人は監査結果を監査依頼者に報告する

  • システム監査チームが監査結果の評価を行ったとき、一部の項目について、調査不足から監査人の意見が分かれた場合の監査チームの対応

    • 意見の統一を図るために追加の監査手続を実施する

  • 内部監査として実施したシステム監査で、問題点を検出後、改善勧告を行うまでの間に監査人が考慮すべき事項

    • 監査人からの一方的な改善策の提案は実行不可能なものとなるおそれがあるので、改善勧告の前に、改善策について被監査部門との間で協議する場をもつ

  • 調査結果を踏まえて、監査対象業務の実態が監査目的に照らし、妥当であるかどうかを判断して、その結果を監査報告書として取りまとめる

  • 実施手順

    • 監査担当者が意見を明確にし、監査部門内でその結論を統合検討した後、監査報告書としてまとめる
    • 被監査部門と意見交換をして調整を行って、最終的な監査報告書を作成し、それに基づいて監査報告会を開催する
    1. 監査意見の形成
    2. 評価・結論の総合検討
    3. 監査報告書案の作成
    4. 被監査部門との意見交換
    5. 最終的な監査報告書の作成

  • 留意点

    • 監査証拠が不足している場合には、それを入手するための追加的な監査手続きを実施する

    • 最終的な監査報告書は、システム監査部門責任者の承認が必要

    • 改善の時期を逸しないように、調査が完了したら、速やかに監査報告会を開催できるようにしなければならない

    • 被監査部門などからの異論の取り扱い

      • 被監査部門及び改善対象部門との意見交換で提示される異論や意見のすべてを応諾する必要はないが、補足事項として取り扱うこともある

• 監査調書

  • 監査調書の役割として、監査実施内容の客観性を確保し、監査の結論を支える合理的な根拠とすることなどが挙げられる

  • システム監査人が行った監査手続きの実施記録であり、監査意見表明の根拠となるべき監査証拠、その他関連資料などをまとめたもの

  • 必要に応じて被監査部門から入手した証拠資料を添付して保管する

  • 監査業務の全過程において、監査人が収集及び作成した資料

  • 監査人が行った監査手続の実施記録であり、監査意見の根拠となる

  • システム監査基準(令和5年)が規定している監査調書の説明

    • 監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするための記録

  • システム監査の実施内容を記録した資料

    • システム監査人が監査の実施内容を記録した資料
    • システム監査人が被監査部門から入手した文書

  • 作成の留意点

    • 真実性(内容が真実である)
    • 立証性(監査意見を立証)
    • 完全性(監査プロセス全体を文書化)
    • 秩序性(記載事項が体系的に整理されている)
    • 明解性(記載内容が完結で明瞭である)
    • 経済性(費用対効果を考慮した監査である)
    • 現時性(実施時点で逐次作成)

  • 監査調書に対する不適切な扱い

    • 監査調書には、監査対象部門以外においても役立つ情報があるので、全て企業内で公開すべきである
    • 監査調書は、通常、電子媒体で保管されるが、機密保持を徹底するためバックアップは作成すべきではない
    • 監査調書は監査の過程で入手した客観的な事実の記録なので、監査担当者の所見は記述しない

  • 実施した監査手続の結果とその関連資料をまとめたものであり、監査結果の記録であると同時に監査意見の裏付け証拠となる

  • 文書として残されている監査調書のみが監査証拠となる点に留意する

  • 必要性

    • 次の目的に使用される
    • 次回システム監査での参考資料(フォローアップ)
    • 監査意見の裏付け証拠
    • 個別計画書、監査手続書への準拠性への立証
    • 監査手続の実施記録
    • 監査業務の品質管理の手段

  • 記載項目

    • 基本要件

      • システム監査業務名(プロジェクト名)
      • 索引番号(ページ番号)
      • 個別計画書や監査手続書との参照番号
      • 入手又は作成者名
      • 入手又は作成日付
      • 監査手続の概要
      • 入手又は作成目的(監査目標)
      • 実施した監査手続
      • 監査手続の適用範囲

    • 監査担当者の意見

      • 発見事項
      • 監査担当者の判断や結論

    • レビューの状況

      • レビュー者名
      • 日付
      • レビュー結果

  • 留意点

    • 作成の際には次の性質をもたせるように留意する
    • 真実性(記載事項が真実である)
    • 立証性(監査意見を立証)
    • 完全性(監査プロセス全体を文書化)
    • 秩序性(記載事項が体系的に整理されている)
    • 明確性(記載内容が簡潔で明瞭である)
    • 経済性(費用対効果を考慮した監査である)
    • 現時性(実施時点で逐次作成)

• 監査業務の管理

  • システム監査業務も、一つのプロジェクトとして捉えることができるので、その実施に関しては、適切な管理が必要となる

  • 進捗管理

    • 個別計画書で定められた監査スケジュールに沿って、作業が進捗しているかをチェックすることによって行う

  • 品質管理

    • システム監査の品質が悪いということは、見つけるべき指摘事項を見付けられないということ
    • 品質が悪いと情報システムの重大な問題を見逃して、会社に大きな損害を与えてしまうこともある

  • システム監査結果の数値による評価

    • 監査項目ごとに評価基準を設け、その乖離度を数値化し、総合評価は加重平均で行う

    • 計画の品質管理

      • 監査手続書のレビューが中心となる

      • チェックポイント

        • 個別計画に準拠しているか
        • 監査手続は効果的かつ効率的か

    • 実施内容の品質管理

      • おもに監査調書をレビューすることによって行う

      • チェックポイント

        • 個別計画書及び監査手続書に準拠しているか
        • 監査調書として的確か
        • 意見表明過程は十分な根拠に基づいて行われているか
        • 監査調書に記載された事実は勘っ証拠として必要十分か
        • 監査担当者間で意見の整合性は取られているか
        • 総合評価は監査目的に適合しているか
        • 改善勧告は妥当な内容になっているか

  • 監査業務の改善

    • システム監査が完了したら作業実績値などを集計し、計画値と対比を行い、差異があった場合にはその原因を分析する
    • 監査計画書および監査手続書の改善点も整理しておく
    • 採用したシステム監査技法の有効性や効率性を評価してその結果をまとめる
    • これらの結果を参考にして、システム監査業務の改善を図っていくことが、システム監査の品質、効率を高める上で非常に重要である

  • 計画の品質管理

    • 監査手続書のレビュー

      • 個別計画に準拠しているか
      • 監査手続は効果的かつ効率的か

  • 実施内容の品質管理

    • 監査調書のレビュー

      • 個別計画書及び監査手続書に準拠しているか
      • 監査調書として的確か
      • 意見表明過程は十分な根拠に基づいて行われているか
      • 監査調書に記載された事実は監査証拠として必要十分か
      • 監査担当者間で意見の整合性はとられているか
      • 総合評価は監査目的に適合しているか
      • 改善勧告は妥当な内容になっているか

<システム監査の報告>

• システム監査報告の意義

  • 目的

    • システム監査の結果をトップマネジメント、被監査部門、及び関係部門などに正確に伝えること
    • 提出先は、監査依頼者(通常は組織体の長)になり、必要に応じて、被監査部門、改善対象部門及びその主管部門等に写しを配布する

  • 監査報告書の体系

    • システム監査報告書(個別監査報告書)

      • 個別計画書に対応

    • 年次監査報告書

      • 基本計画書に対応

  • 役割

    • 監査意見の伝達手段
    • 監査内容の記録保存手段
    • システム監査人の責任限定手段

  • 責任の所在

    • システム監査人が負う責任

      • 監査報告書に記載した監査意見

    • システム監査の依頼者が負う責任

      • 監査結果の外部への開示
      • 監査報告会で指摘した問題点の改善

  • システム監査報告書

    • 監査の結果を権限者に報告する文書であり、システム監査人が問題ありと判断した事項は、指摘事項として全て記載する

    • システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針

      • 経営資源の状況を踏まえて改善を実施する

    • システム監査人が、監査報告書の原案について被監査部門と意見交換を行う目的

      • 監査報告書に記載する指摘事項及び改善勧告について、事実誤認がないことを確認するため

    • システム監査人が監査報告書に記載する改善勧告に関する説明

      • 調査結果に事実誤認がないことを被監査部門に確認した上で、監査人が改善の必要があると判断した事項を記載する

    • システム監査報告書に記載された改善勧告に対する監査人の取組み

      • 改善勧告に対する改善実施状況を確認する
      • 発見事項と意見を明確に区分する

    • システム監査人が監査報告書に記載する事項のうち、監査人の業務範囲を逸脱するもの

      • 改善の命令

    • 監査意見

      • 保証意見：コントロールが有効に機能していることを保証する意見表明

        • 例

          • 販売管理システムに係る信頼性のコントロールは、システム管理基準に照らして、指摘事項に挙げた不備を除いて有効に機能している

      • 助言意見：欠陥の指摘と改善提言を行う意見表明

        • 例

          • 販売管理システムに係る安全性のコントロールに重大な不備があり、改善提案のように改善すべきである
          • 販売管理システムに係る効率性のコントロールは、業務処理に重大な影響を与える可能性があり、緊急の改善が必要である
          • 販売管理システムに係る信頼性のコントロールについて、被監査部門と合意した手続きによって調査を行った結果を、指摘事項として挙げた

  • 記載項目

    • 監査の概要

      • 監査の目的
      • 監査の対象
      • 監査の実施時期
      • 監査の実施者

    • 監査の結論

      • 保証の付与
      • 指摘事項
      • 改善勧告
      • 助言内容

    • その他の特記すべき事項

      • IT戦略やIT投資方針の変更
      • 情報システム運用体制の大幅な変更
      • 情報システムの重大な障害の発生

• 指摘事項

  • 指摘事項の的確性

    • 指摘事項の的確性を担保するために次のような点に留意する

    • 監査目的への適合性

      • 指摘事項は、監査目的を適合していなければならない
      • 指摘事項は経営戦略、情報戦略と合致した方向になっている必要がある

    • 指摘事項の優先順位

      • 指摘事項には優先順位を付けて、何が重要かについて被監査部門が判断できるようにしておく

      • 考慮点

        • 経営課題、監査目的との適合性
        • 改善の緊急性
        • 潜在的問題の顕在化の可能性

    • 監査証拠による裏付け

      • 指摘事項は必ず監査証拠による裏付けがなければならない
      • 監査証拠がない状態で指摘をしてはならない

    • 被監査部門、関係部門との意見交換

      • 指摘事項に関して事実誤認を排除するために、監査報告を提出する前に被監査部門や改善対象部門などと意見交換をしておく
      • 事実誤認の排除が目的であるため、意見を斟酌して監査報告を作成する必要はない

    • 関連法規、ガイドラインなどへの準拠性

      • 関連法規や各種のガイドライン等に準拠していなければならない

  • 記載上の留意点

    • 監査意見は、平易性、簡潔性、明瞭性を備えていなければならない
    • 指摘事項を記載する際は、どの部分が発見した事実で、どの部分が監査人の意見化を明確に区分して記載しなければならない

• 改善勧告・補足事項

  • 指摘事項

    • 監査人が判断基準に照らし合わせて問題と認めた事項のすべてを列挙する
    • 評価できる事項は指摘事項に含まれない
    • 調査結果に事実誤認がないことを監査対象部門に確認したうえで、監査人が指摘事項とする必要があると判断した事項を記載する

  • 改善勧告

    • 指摘事項の中から特に重要な事項を選択して改善を求める事項

    • 緊急改善勧告

      • そのまま放置できない重要な問題で、緊急に改善を必要とするもので、おおむね半年以内で実行するような事項

    • 通常改善勧告

      • それほどの緊急度を要しないが、改善の必要性のあるもの
      • 被監査部門は計画的に作業を進めていく必要がある

  • 改善勧告の妥当性の確保

    • 改善勧告の妥当性の確保のため次の点に留意する

      • 経営課題に即した改善勧告の優先順付け
      • 具体的かつ詳細な改善提案の提示
      • 改善対象部門との意見交換による改善提案の実現可能性についての確認
      • フォローアップの実施

  • システム監査報告書に記載された改善勧告に対して、被監査部門から提出された改善計画を経営者がITガバナンスの観点から評価する際の方針

    • 経営資源の状況を踏まえて改善を実施する

  • 補足事項の記載

    • システム監査の概要や監査意見のほかに、意見を表明する必要性を認めた事項を記載することができる

    • 例

      • 総合評価、指摘事項、改善勧告には該当しない内容の意見
      • 権限者に監査結果を十分理解してもらうために必要な補足資料
      • システムの現状判断又は改善のために必要な情報

• 報告会の実施

  • 意義

    • 監査結果をトップマネジメント、関係部門に説明するために監査報告会を開催する
    • 報告会では、改善作業のスケジュールや担当者の決定を行い、改善作業が進むようにする

  • 参加者

    • トップマネジメント
    • 被監査部門責任者
    • 改善実施部門責任者

• フォローアップ

  • 意義

    • 改善勧告の実施状況がシステム監査業務の有効性を左右する
    • 地震が監査報告書に記述した改善勧告の内容を実現するために、できる限りの支援をするべきである
    • システム監査人が、監査報告書に記載した改善提案の実施状況に関する情報を収集し、改善状況をモニタリングすること

  • フォローアップの役割

    • 改善勧告の実現の促進
    • 改善に向けた関連部門の調整
    • 改善勧告の妥当性の確認

  • フォローアップ方法

    • 改善計画及び改善報告書の提出
    • 次回監査での確認
    • フォローアップ監査の実施

  • 留意点

    • 適切な指導性を発揮して改善の実施を実現させていかなければならない
    • 改善対象部門の責任者が改善作業の進捗を十分に管理していることを確認し。進捗管理状況を把握していかなければならない

  • 被監査部門の改善活動状況において、計画通りに行われているかどうかを定期的に確認する

  • 業務改善そのものは被監査側が実施する

  • 改善提案に対する監査対象部門の改善状況をモニタリングする

  • システム監査報告書に記載された改善勧告への取組みに対する監査人のフォローアップ

    • 改善勧告に対する被監査部門の改善実施状況を確認する

  • システム監査の改善指導(フォローアップ)において、被監査部門による改善が計画よりも遅れていることが判明したとき、システム監査人が採るべき行動

    • 遅れの原因を確かめるために、監査対象部門に対策の内容や実施状況を確認する
    • 遅れを取り戻すための方策について、被監査部門の責任者に助言する