「システム監査」一般

  1. 総論
  2. 試験対策(午後I)
  3. 試験対策(午後II)
  4. システム監査基準 視点のまとめ

◆総論

システム監査技術者の役割
システム監査技術者は、情報システムを総合的に点検・評価し、 監査結果をトップマネジメントおよび関係者に説明し、 改善点を勧告する、いわゆるシステム監査業務に 従事することになる。
当技術者には、監査計画を立案し、監査を実施し、 監査結果をトップマネジメントおよび関係者に報告する能力が求められる。 さらに、情報システムに関するコントロール機能の改善を促進し、 その実効性を担保にすることによって、 企業経営はもとより、情報社会・ネットワーク社会の健全化に 貢献できる能力が求められる。
  1. 主旨
  2. 用語の定義
    システム監査システム監査人信頼性安全性効率性被監査部門基本計画個別計画リスク分析指摘事項改善事項改善勧告
  3. 基準の構成
  4. 実施基準の考え方
  5. 一般基準
    1.体制、2.監査、3.システム監査人の責任・権限、 4.職業倫理、5.守秘義務
  6. 実施基準
    • イ.企画業務
      1.情報戦略、2.全体計画、3.開発計画、 4.システム分析・要求定義
    • ロ.開発業務
      1.開発手順、2.システム設計、3.プログラム設計、 4.プログラミング、5.システムテスト、6.移行
    • ハ.運用業務
      1.運用管理、2.入力管理、3.データ管理、 4.出力管理、5.ソフトウェア管理、6.ハードウェア管理、 7.ネットワーク管理、8.構成管理、9.建物・関連設備管理
    • ニ.保守業務
      1.保守手順、2.保守計画、3.保守の実施、 4.保守の確認、5.移行、6.旧情報システムの廃棄
    • ホ.共通業務
      • a.ドキュメント管理
        1.作成、2.管理
      • b.進捗管理
        1.実施、2.評価
      • c.要員管理
        1.責任・権限、2.業務遂行、3.教育・訓練、4.健康管理
      • d.外部委託
        1.委託計画、2.委託先選定、3.委託契約、4.委託業務
      • e.災害対策
        1.リスク分析、2.災害時対応計画、3.バックアップ、 4.代替処理・復旧
  7. 報告基準
    1.報告書作成、2.報告、3.フォローアップ
  8. 留意事項
    情報システム安全対策基準」、 「コンピューターウィルス対策基準」、 「ソフトウェア管理ガイドライン
目次に戻る

◆試験対策(午後I)

設問のタイプ 回答方針 システム監査基準
問題点、注意点を示せ、原因を分析せよ
  • 問題文に回答がある場合
  • 一般常識を駆使する必要がある場合
いずれも、自分の経験に依存した 論述は避ける。
  • 経営戦略との整合性
  • 標準化の方針の明確化
  • 有効性の評価
  • 承認
  • 変化に対応した見直し
  • 役割分担の明確化
  • 不正防止・機密保護の対策
  • 結果の記録および保管
  • 運用のルール化と遵守
  • 周知徹底・教育実施
  • 知的財産の管理
  • 災害対策
リスクを評価せよ、優先順位をつけよ 問題文、設問の主旨に沿い、 技術的で些末な問題に捕われず、 情報システムと経営戦略の観点から リスクを指摘する。
  • リスク分析
  • 災害時対応計画
  • バックアップ
  • 代替処理・復旧
内部統制(コントロール)を述べよ 具体的な内部統制の方法を幾つも覚えておこう。
  • 確認を取る制度の確立
  • 開発手順の制定
  • レビューの制度化
  • 評価・改善のための制度の確立
  • 評価を開発手順内にルール化
  • 確認作業のルール化
  • 体制整備と運用規則の制定
  • アクセスコントロール機能の利用
  • モニタリング機能の利用
実施基準に挙げられている「監査項目」のうち、 内部統制が有効に機能しているか、 という観点で書かれているもの全てをチェックしておく。
監査手続きを述べよ、監査証跡は何か 監査手続きの述べ方を覚えておこう。
  • 点検する、チェックする
  • 妥当性を確認する
  • ヒアリングを実施する
  • 突き合わせを行う
  • 記録、証跡の調査
  • ルールと実態の確認
  • 承認の確認
  • データ内容を試査する
  • 基本計画、個別計画の策定
  • 予備調査、本調査および評価・結論
監査報告に記載すべき事項は何か
  • 具体的に改善提案を記述
  • 勧告すべきことを明確に
  • 信頼性、安全性、効率性の評価
  • 指摘事項
  • 改善勧告
  • 改善案
目次に戻る

◆試験対策(午後II)

テーマ 設問ア 設問イ 設問ウ
  • 業務革新
  • 環境変化に対応した
    監査対象領域の選定
  • ユーザ部門の
    運用業務監査
  • ペーパーレス化
  • システム化目標の設定
  • デザインレビュー
  • 分散開発
  • 情報システムの有効性
  • パッケージソフトウェア
  • アウトソーシング
  • 個人情報の保護
  • フォローアップ
  • あなたが参加した情報システムの全体計画
  • システム監査人としての情報システムへのかかわり
  • 経営戦略との整合性
  • リスクと、対応する内部統制
  • リスクと、対応する監査領域
  • 監査にあたって考慮すべき点
  • 信頼性、安全性、効率性に関する一般論
  • 評価の項目、方法、尺度
  • 改善勧告の周知の方法
  • 内部統制の評価のための 監査目標や監査手続
  • 監査ポイント
  • 具体的な監査の方法、ポイント、技術
  • 信頼性、安全性、効率性に関する監査手続
  • フォローアップの具体的な留意点
  • 問題本文にポイントは
    明記されている
  • 本文論旨に沿わない解答は
    得点にならない
  • どの角度からも説明できるよう準備
  • 本文のキーワードを利用する
  • 第三者的、客観的立場から記述する。
  • 簡潔に、設問イ以降に繋がるように
  • 理由、根拠、意義、重要性を示す
  • 判断力、見識、実践能力を示す
  • 具体的な工夫点、力点を論理的に
  • 製品名や企業名を書くのは不適切
  • 思い付きでなく能力のアピールを
  • あくまでシステム監査人の視点から
  • 理論的に、設問ウ以降に繋がるように
  • 客観的な自己評価
  • 根拠を示した上での意見の展開
  • 問題文の論旨から逸脱しないこと
  • 積極的、前向きな姿勢で締めくくる
目次に戻る

◆システム監査基準 視点のまとめ

システム監査基準の実施基準は、 企画・開発・運用・保守というフェーズ毎、 及び共通業務という分類で構成されている。 これを「縦糸」とすれば、 ここで整理した視点別の整理は「横糸」に相当する。 システム監査基準は、縦糸と横糸、両方の観点から覚えていけば、 より効率的に、深く理解することができるだろう。

「承認、(ルール・規準の)作成・遵守、セキュリティ(不正防止及び機密保護の対策)、 検証、(定期的な・必要に応じた)見直し、記録・保管」 という視点の括りくらいは常に脳にあって、 各視点と問題文を同時並行的に突合わせていけるくらいに覚え込む。
「承認、ルール、セキュリティ、検証、見直し、記録」
「ショウルール、セっけん見直し記録」
………覚えた?

承認しているか
  • 全体計画の立案体制を組織的に確立し、 組織体の長が承認しているか。
  • 全体計画は、全体計画立案ルールに基づいて策定し、 組織体の長が承認しているか。
  • 開発計画は、組織体の長が承認しているか。
  • 開発計画に基づいた要求定義は、 開発及びユーザの責任者が承認しているか。
  • 開発手順は、開発の責任者が承認しているか。
  • システム設計書は、開発及びユーザの責任者が承認しているか。
  • プログラム仕様書は、開発の責任者が承認しているか。
  • システムテストの結果は、 開発、運用、保守及びユーザの責任者が承認しているか。
  • 保守手順は、保守の責任者が承認しているか。
  • 保守計画を策定し、保守及びユーザの責任者が承認しているか。
  • システム設計書、プログラム仕様書等は、保守計画に基づいて変更し、 保守及びユーザの責任者が承認しているか。
  • プログラムの変更は、保守手順に基づき、 保守の責任者の承認を得て実施しているか。
  • 変更したプログラムのテストの結果は、 開発、運用、保守及びユーザの責任者が承認しているか。
  • 旧情報システムは、廃棄計画を策定し、 運用及びユーザの責任者の承認を得て廃棄しているか。
  • ドキュメントは、 情報システム部門及びユーザ部門の責任者が承認しているか。
  • ドキュメントの更新内容は、 情報システム部門及びユーザ部門の責任者が承認しているか。
  • 進捗管理の方法、体制等を定め、 企画、開発、運用及び保守業務の責任者が承認しているか。
  • 委託計画を策定し、委託の責任者が承認しているか。
  • リスク分析の結果に基づき、災害時対応計画を策定し、 組織体の長が承認しているか。
ルールを遵守しているか・ルールに基づいているか
  • 全体計画は、全体計画立案ルールに基づいて策定し、 組織体の長が承認しているか。
  • 運用管理ルールを定め、遵守しているか。
  • 例外処理のオペレーションは、運用管理ルールに基づいて行っているか。
  • オペレータの交替は、運用管理ルールに基づいて行っているか。
  • オペレーション実施記録は、運用管理ルールに基づいて、 一定期間保管しているか。
  • 入力管理ルールを定め、遵守しているか。
  • データの入力は、入力管理ルールに基づいて行っているか。
  • 入力データの保管及び廃棄は、入力管理ルールに基づいて行っているか。
  • データ管理ルールを定め、遵守しているか。
  • データの授受は、データ管理ルールに基づいて行っているか。
  • 出力管理ルールを定め、遵守しているか。
  • 出力情報の引渡しは、出力管理ルールに基づいて行っているか。
  • 出力情報の保管及び廃棄は、出力管理ルールに基づいて行っているか。
  • ソフトウェア管理ルールを定め、遵守しているか。
  • ソフトウェアの授受は、ソフトウェア管理ルールに基づいて行っているか。
  • ハードウェア管理ルールを定め、遵守しているか。
  • ネットワーク管理ルールを定め、遵守しているか。
  • 保守に必要なドキュメント等は、引継ぎルールに基づいて 開発の責任者から引継いでいるか。
  • 委託契約は、委託契約ルールに基づいて締結しているか。
規定・方針・計画・マニュアルに基づいて実施しているか
  • 開発手順は、開発方法に基づいて作成しているか。
  • システム設計書に基づいて、プログラムを設計しているか。
  • プログラム仕様書に基づいてプログラミングしていることを検証しているか。
  • テストデータの作成及びシステムテストは、 テスト計画に基づいて行っているか。
  • システムテストは、ユーザが参画し、 ユーザマニュアルに基づいて実施しているか。
  • オペレーションは、ジョブスケジュール及び指示書に基づいて行っているか。
  • (構成管理では、)ソフトウェア、ハードウェア及びネットワークの 導入並びに変更は、 影響を受ける範囲を検討して決定しているか。
  • (保守の実施では、)変更したプログラム仕様書に基づいて プログラミングしていることを検証しているか。
  • 変更したプログラムのテストの実施は、 保守のテスト計画に基づいて行っているか。
  • 変更したプログラムのテストは、ユーザが参画し、 ユーザマニュアルに基づいて実施しているか。
  • ドキュメントは、作成計画に基づいて作成しているか。
  • 教育及び訓練は、カリキュラムに基づいて定期的かつ効果的に行っているか。
  • 成果物の検収は、委託契約に基づいて行っているか。
適切に決定しているか
  • 開発方法は、開発の規模、期間及びシステム特性を考慮して決定しているか。
  • 開発手順は、開発の規模等から決定しているか。
  • データのバックアップの範囲及びタイミングは、 業務内容、処理形態及びリカバリの方法を考慮して決定しているか。
  • ソフトウェアのバックアップの範囲及び方法は、 業務内容及び処理形態を考慮して決定しているか。
  • ソフトウェア、ハードウェア及びネットワークの導入並びに変更は、 影響を受ける範囲を検討して決定しているか。
  • 保守手順は、保守の規模、期間、システム特性等を考慮して決定しているか。
  • 旧情報システムの廃棄方法及び廃棄時期は、 不正防止及び機密保護の対策を考慮して決定しているか。
  • 委託は、具体的な効果、問題点を評価して決定しているか。
策定しているか・作成しているか・定めているか
  • 情報戦略は、経営戦略との整合性を考慮して策定しているか。
  • 開発計画は、全体計画との整合性を考慮して策定しているか。
  • 開発計画は、内外の情報技術調査を実施して策定しているか。
  • 移行計画及び移行に伴う運用計画を策定しているか。
  • 移行後の運用の実行計画を策定しているか。
  • ジョブスケジュールは、業務処理の優先度を考慮して設定しているか。
  • 移行手順は、移行の条件を考慮して作成しているか。
  • ドキュメントの作成計画を策定しているか。
  • 要員の責任及び権限は、 企画、開発、運用及び保守の業務の特性に応じて定めているか。
  • 業務の回復許容時間及び回復優先順位を定めているか。
  • 情報システム、データ及び関連設備のバックアップ方法 並びに手順は、業務の回復目標に対応して定めているか。
  • 運用及びユーザの責任者は、復旧までの代替処理手続き及び体制を定め、 検証しているか。
  • 運用及びユーザの責任者は、復旧手続き及び体制を定め、 検証しているか。
明確にしているか
  • 情報システムの企画、開発、運用及び保守業務に係る 標準化の方針を明確にしているか。
  • 全体計画は、情報化の効果、推進体制、費用等を明確にしているか。
  • 全体計画は、情報システムの全体像を明確にしているか。
  • 全体計画は、システム開発の優先度を明確にしているか。
  • 全体計画は、システム開発によって生ずる組織及び業務の 変更の方法を明確にしているか。
  • 全体計画は、セキュリティ対策の方針を明確にしているか。
  • 開発計画は、目的、対象業務、費用対効果などを明確にしているか。
  • 情報システムのライフサイクルを設定する条件を明確にしているか。
  • ユーザーニーズの調査は、対象、範囲及び方法を明確にしているか。
  • ユーザ部門と情報システム部門の役割分担を明確にしているか。
  • 開発及び開発費用の算出基盤を明確にしているか。
  • テスト計画は、目的、範囲、方法、スケジュール等を明確にしているか。
  • 情報システムの利用に係る教育の方針、スケジュール等を明確にしているか。
  • 移行完了の検証方法を明確にしているか。
  • 操作手順を標準化し、事故及び障害の対策を明確にしているか。
  • 管理すべきソフトウェア、ハードウェア及びネットワークの対象範囲を 明確にしているか。
  • ソフトウェア、ハードウェア及びネットワークの構成、購入先、 サポート条件等を明確にしているか。
  • 保守のテスト計画は、目的、範囲、方法、スケジュール等を 明確にしているか。
  • ドキュメントの種類、目的、作成方法等を明確にしているか。
  • 委託の目的及び対象範囲を明確にしているか。
  • 委託先の選定基準を明確にしているか。
  • (委託契約は)不正防止、機密保護等の対策を明確にしているか。
  • (委託契約は)知的財産権を明確にしているか。
  • (委託契約は)特約条項及び免責条項を明確にしているか。
  • 地震等のリスク及び情報システムに与える影響範囲を明確にしているか。
不正防止及び機密保護の対策を講じているか
  • (システム設計では)不正防止、機密保護等の機能を設計しているか。
  • 識別コード及びパスワードの管理は、 不正防止及び機密保護の対策を講じているか。
  • 入力データの作成手順、取扱い等は、誤びゅう防止、 不正防止及び機密保護の対策を講じているか。
  • データの保管及び廃棄は、 不正防止及び機密保護の対策を講じているか。
  • データの複写は、 不正防止及び機密保護の対策を講じているか。
  • 出力情報の作成手順、取扱い等は、 不正防止及び機密保護の対策を講じているか。
  • ソフトウェアの保管及び廃棄は、 不正防止及び機密保護の対策を講じているか。
  • ソフトウェアの複写は、 不正防止及び機密保護の対策を講じているか。
  • 建物及び室への入退の管理は、 不正防止及び機密保護の対策を講じているか。
  • 旧情報システムの廃棄方法及び廃棄時期は、 不正防止及び機密保護の対策を考慮して決定しているか。
  • ドキュメントの保管及び破棄は、 不正防止及び機密保護の対策を講じているか。
  • ドキュメントの複写は、 不正防止及び機密保護の対策を講じているか。
  • 要員の交替は、 不正防止及び機密保護を考慮して行っているか。
  • (委託契約は)不正防止、機密保護等の対策を明確にしているか。
  • 委託先における不正防止、機密保護等の対策の実施状況を把握し、 必要な措置を講じているか。
対策を講じているか
  • (システム設計では)情報システムの障害対策を講じているか。
  • (運用管理では)事故及び障害の原因を究明し、 再発防止の措置を講じているか。
  • データに対するコンピュータウイルス対策を講じているか。
  • ソフトウェアに対するコンピュータウイルス対策を講じているか。
  • ハードウェアは、障害対策を講じているか。
  • 関連設備は、障害対策を講じているか。
  • 進捗の遅延等の対策を講じているか。
  • 委託業務の進捗状況を把握し、遅延対策を講じているか。
分析しているか・評価しているか
  • 情報戦略の有効性を評価しているか。
  • 実務に精通しているユーザが参画して現状分析を行っているか。
  • 情報システムの導入に伴って発生する可能性のある リスクを分析しているか。
  • 情報システムの効果の定量的及び定性的評価を行っているか。
  • ジョブスケジュールとオペレーション実施記録の差異分析を行っているか。
  • データの利用状況を記録し、定期的に分析しているか。
  • 出力情報のエラー状況を記録し、定期的に分析しているか。
  • 出力情報の利用状況を記録し、定期的に分析しているか。
  • ソフトウェアの利用状況を記録し、定期的に分析しているか。
  • ハードウェアの利用状況を記録し、定期的に分析しているか。
  • ネットワークの利用状況を記録し、定期的に分析しているか。
  • 変更依頼等に対し、保守の内容及び影響範囲の調査 並びに分析を行っているか。
  • 業務の工程終了時に、計画に対する実績を分析及び評価しているか。
  • 委託した業務の結果を分析及び評価しているか。
  • 情報システムの停止等により組織体が被る損失を分析しているか。
検証しているか・検討しているか
  • 情報システムの導入によって影響を受ける業務、管理体制、諸規定等は、 見直し等の検討を行っているか。
  • 情報システムの目的を達成する実現可能な代替案を作成し、 検討しているか。
  • プログラム仕様書に基づいてプログラミングしていることを検証しているか。
  • 運用の責任者は、他の情報システムへ影響を与えていないことを 検証しているか。
  • 作業分担及び作業量は、要員の知識、能力等から検討しているか。
  • 不足の事態に備えた代替要員の確保を検討しているか。
  • 教育及び訓練のカリキュラムは、技術力の向上、業務知識の習得、 情報システムのセキュリティ確保等から検討しているか。
  • 委託先が提案した受託条件の比較検討を行っているか。
  • 運用の責任者は、バックアップ方法及び手順を検証しているか。
  • 運用及びユーザの責任者は、復旧までの代替処理手続き及び体制を定め、 検証しているか。
  • 運用及びユーザの責任者は、復旧手続き及び体制を定め、 検証しているか。
見直しを行っているか
  • 全体計画は、定期的な見直し及び 経営環境等の変化に対応した見直しを行っているか。
  • 情報システムの導入によって影響を受ける業務、管理体制、諸規定等は、 見直し等の検討を行っているか。
  • 要員の責任及び権限は、情報環境の変化に対応した見直しを行っているか。
  • 教育及び訓練のカリキュラムは、情報戦略に基づいて 作成及び見直しを行っているか。
  • 要員に対するキャリアパスを確立し、 情報環境の変化に対応した見直しを行っているか。
  • 災害時対応計画は、見直しを行っているか。
記録し、保管しているか
  • プログラムテストの結果を記録及び保管しているか。
  • システムテストの結果を記録及び保管しているか。
  • オペレーション実施記録は、運用管理ルールに基づいて、 一定期間保管しているか。
  • 変更したプログラムのテストの結果を記録及び保管しているか。
  • 情報システムの変更に伴い、ドキュメントの内容を更新し、 更新履歴を記録しているか。
有効に機能しているか
  • 入力データの作成手順、取扱い等は、誤びゅう防止、 不正防止及び機密保護の対策は、有効に機能しているか。
  • データへのアクセスコントロール及びモニタリングは、 有効に機能しているか。
  • ソフトウェアへのアクセスコントロール及びモニタリングは、 有効に機能しているか。
  • ネットワークへのアクセスコントロール及びモニタリングは、 有効に機能しているか。
設計しているか
  • ユーザが利用しやすく入出力帳票、入出力画面等を設計しているか。
  • データベースは、業務の内容に応じて設計しているか。
  • ネットワークは、業務の内容に応じて設計しているか。
  • システム構成は、ピーク時を想定して設計しているか。
  • 運用に必要な性能管理などの技術的な実現方法等を設計しているか。
その他
  • 情報システムに関する法律、制度等を全て調査しているか。
  • 開発計画及びユーザーニーズに基づき、 ソフトウェア、ハードウェア、ネットワーク等を選択しているか。
  • 開発を遂行するために必要な要員、予算、設備、期間等を確保しているか。
  • データの保全性を確保しているか。
  • 情報システムの性能は、要求定義を満たしているか。
  • プログラム設計時に発見したシステム設計の矛盾は、 システム設計の再検討を行って解決しているか。
  • 重要プログラムは、プログラム作成者以外の者がテストしているか。
  • システムテストは、公正かつ客観的立場の者が実施しているか。
  • 情報システムの稼動実績を把握し、性能管理及び資源の有効利用を図っているか。
  • 情報システムのセキュリティに関する教育及び訓練を ユーザに対して実施しているか。
  • データの知的財産権を管理しているか。
  • ソフトウェアの知的財産権を管理しているか。
  • ハードウェアは、想定されるリスクを回避できる環境に設置しているか。
  • ソフトウェア、ハードウェア及びネットワークの導入 並びに変更は、計画的に実施しているか。
  • 建物及び関連設備は、想定されるリスクを回避できる環境に設置しているか。
  • 関連設備は、定期的に保守を行っているか。
  • 変更したプログラムは、新規開発と同程度のテストを行っているか。
  • 変更前のプログラム及びデータをバックアップしているか。
  • 企画、開発、運用及び保守業務の責任者は、 進捗状況を把握しているか。
  • 評価結果は、次工程の計画に反映しているか。
  • 評価結果は、進捗管理の方法、体制等の改善に反映しているか。
  • 要員の責任及び権限を周知徹底しているか。
  • 不足の事態に備えた代替要員の確保を検討しているか。
  • 教育及び訓練は、カリキュラムに基づいて定期的かつ効果的に行っているか。
  • 健康管理を考慮した作業環境を整えているか。
  • 健康診断及びカウンセリングを行っているか。
  • 委託業務の実施内容は、契約内容と一致しているか。
  • 災害時対応計画に基づいた訓練を定期的に行っているか。
目次に戻る
■参考文献