システム監査の基礎

1. システム監査の基礎知識
2. 情報システムのコントロール
3. システム監査実施の概要
4. システム監査に関する施策

◎システム監査の歴史、研究経過
  ・情報システム
  ・情報化社会

• 【システム監査】：
  監査対象から独立かつ客観的立場の システム監査人が 情報システムを総合的に点検及び評価し、 組織体の長に助言及び勧告するとともに フォローアップする一連の活動

◎システム監査の定義・目的・必要性
  ・システム監査基準

• 【信頼性】：
  情報システムの品質並びに障害の発生、 影響範囲及び回復の度合い
• 【安全性】：
  情報システムの自然災害、不正アクセス及び破壊行為からの 保護の度合い
• 【効率性】：
  情報システムの資源の活用及び費用対効果の度合い

  ・セキュリティ対策
  ・有効活用
  ・会計監査
  ・業務監査
  ・経営監査

◎システム監査対象システムのライフサイクル
  ・企画業務
  ・開発業務
  ・運用業務
  ・保守業務
  ・システムライフサイクル
  ・システム企画監査
  ・システム開発監査
  ・プロジェクトマネジメント方式
  ・外注方式
  ・システム運用監査
  ・システム保守監査

◎システム監査技術者の要件
  ・適格性
  ・独立性
     * 精神的独立性
         常に自己の良心と信念に従い、公平、中立の立場から事実を認定し、
         それを判断し、その結果を意見表明すること。
     * 外観的独立性
         被監査側に、組織的にも身分的にも支配されないこと。

• 【システム監査人】：
  次の知識及び能力を有し、システム監査に従事する者
  • 情報システムの基本的知識
  • システム監査の知識
  • システム監査の実施能力
  • システム監査の実施に当たっての関連知識

◎組織体に必要なコントロールの役割・機能
  ・コントロール

  ・内部監査
      組織体内部の監査人が実施する監査。
      監査の実施主体が組織体の内部または外部かによる分類。
      組織体における経営活動の効率性、有効性、および
      経営活動のベースとなる計画への準拠性および手続きの妥当性、
      適切性の評価を目的とする。 
  ・内部統制
      経営資源の適切かつ効率的な保全、正確な業務記録の作成と
      信頼ある業務報告・法令・規則への遵守を合理的に保証するために，
      経営者が設定した制度・組織，必要な手続および諸規程等からなる
      経営の仕組みの総称。 
  ・内部牽制
      業務の遂行過程において、２名以上の従業員に分担させ、
      職務を分離することにより、不正や誤謬の発生を発見・予防し、
      あるいは自動的に検証できるようにした仕組みの総称。
      相互牽制とも言う。 

  ・会計統制
  ・経営統制
  ・内部統制組織
  ・経営環境
  ・統制環境
  ・予防牽制機能
  ・誤謬摘示機能
  ・修正回復機能

◎情報システムに必要なコントロール

1. 信頼性 を確保するためのコントロール
2. 安全性 を確保するためのコントロール
3. 効率性 を確保するためのコントロール

◎情報システムの監査性
  ・監査性

  ・監査証拠
    システム監査報告書に記載する監査意見を立証するために必要な事実。 
    監査調書として実在するものであり、物理的証拠、文書的証拠、
    文書化された口頭的証拠等に大別される。 

  ・監査証跡
    各コントロール機能が情報システムの信頼性、安全性、効率性の確保に
    結びついていることを事後に実証するための手段。 
    情報システムに関するさまざまな事象の発生から最終結果に至るまでの
    過程およびその逆方向の追跡ができる仕組み。 
     * トランザクション証跡
         監査対象システムの取引きを選び出し、データ処理内容と
         処理結果の相互関連を追跡できる一連の仕組みと記録。
     * アクセス証跡
         システム資源へのアクセスに関して因果関係を事後に追跡
         するため仕組みと記録。
    監査証跡(Audit Trail)は、いわば時系列的な監査証拠の連鎖である。
    監査証跡は監査証拠になりうるが、逆は一般に真ではない。

◎システム監査の導入準備と役割分担
  ・経営者
  ・被監査部門
  ・システム監査部門
  ・監査マニュアル

• 【被監査部門】：
  システム監査を受ける部門

◎システム監査の実施概要
  ・監査計画(書)
  ・監査実施
  ・監査報告
  ・有用性
  ・計画性
  ・指導性
  ・監査目的

  ・予備調査
      監査対象の実態を明確に把握するために行う。
      コントロールの妥当性評価を行う。
  ・本調査
      コントロールが実際に行われているか、有効に機能しているかを確認する。
  ・評価・結論

  ・監査手続書
      予備調査の結果を踏まえて、これから実施する本調査の手順方法
      などを記述する。監査業務の進捗管理手段である。
      システム監査担当者の指導監督を行うための有効な手段としても
      利用できる。監査手続書は個別計画書をより詳細にしたものともいえ、
      システム監査技術者のとるべき行動を明確にしたものである。

  ・監査証拠
  ・監査技法
  ・監査調書
  ・準拠性テスト
  ・実証性テスト
  ・精査
  ・試査
  ・監査報告(書)
  ・監査意見
  ・指摘事項
  ・改善勧告
  ・フォローアップ

• 【指摘事項】：
  システム監査人が自らの判断基準に基づき指摘した問題点
• 【改善事項】：
  指摘事項のうち、システム監査人が改善を必要と判断した事項
• 【改善勧告】：
  改善事項を緊急性を要する事項(緊急改善)と その他の事項(通常改善)に分けて整理した勧告

◎他監査との連携・調整
  ・監査役監査
      商法に基づき、取締役の執行を監査する。
      株主総会で選任される。
  ・公認会計士監査
      適法性を監査する。
      株主総会提出前の計算書類を対象にしている。
      利害関係者(株主、債権者、取引先、従業員等)の利益保護を目的とする。
      取締役の職務遂行に関して不正の行為または法令もしくは
      定款違反となる重大な事実を発見した時は、監査役に
      報告しなければならない。(商法特例法第８条)
  ・証券取引法監査
      一般投資家の利益保護を主眼とする。
      会社として確定済みの財務諸表を対象とする。
      取締役会で選任される。
  ・商法監査
  ・内部監査
      企業内の諸活動の状態を評定することにより、経営者のために
      役立てようとする任意監査。
      業務監査、会計監査、システム監査を実施する。

   ・監査特例法
      * 監査役は３名以上で、そのうち１名以上は就任の前
        ５年間、会社またはその子会社の取締役または支配人その他の
        使用人でなかった者でなければならない。
      * 会社にあっては、監査役の全員で監査役会を組織する。

◎システム監査基準の項目

• システム監査基準 -【１】主旨
  本基準は、情報システムの 信頼性、 安全性及び 効率性の向上を図り、 情報化社会の健全化に資するため、システム監査に当たって 必要な事項を網羅的に示したものである。
• システム監査基準 -【４】実施基準の考え方
  
  1. 実施基準は、集中処理又は分散処理のいずれにも適用できる。
  2. 実施基準は、開発方法に依存することなく適用できる。
  3. 企画業務は、情報戦略からシステム分析・要求定義までを 対象とする。
  4. 開発業務は、開発手順から移行までを対象とする。
  5. 運用業務は、情報システムの運用に係るソフトウェア、 ハードウェア、ネットワーク、建物等の管理を対象とする。
  6. 保守業務は、ソフトウェアの変更に係る事項で、 保守手順から旧情報システムの破棄までを対象とする。
  7. 情報システムの大幅変更は、企画及び開発業務とする。
  8. 共通業務は、企画、開発、運用及び保守業務に共通する ドキュメント管理、進捗管理、要員管理及び外部委託並びに 災害対策から構成している。
  9. 企画、開発、運用及び保守業務の監査に当たっては、 共通業務の基準についても考慮し、適用すること。
     なお、共通業務の基準は、単独で適用することができる。
  10. 実施基準は、組織体の実態に応じ適切に適用すること。

  ・システム監査基準
  ・一般基準
  ・実施基準
  ・報告基準
  ・企業業務
  ・開発業務
  ・運用業務
  ・保守業務
  ・共通業務
  ・システム監査報告書

◎システム監査技術者試験制度の概要
  ・システム監査技術者試験

◎システム監査企業台帳制度
  ・システム監査企業台帳制度
  ・システム監査企業