サービスマネジメント(2)
システム監査
システム監査
「システム監査」は独立した第三者である。「システム監査人」により、経済産業省の「システム監査基準」おいて、システムを統合的に検証・評価し、関係者に助言や勧告を行う。システム監査は発展的な業務を行う上で重要
監査業務
ある行動が決められたルールどおりに適正に行われているかを、監督/検査すること
| 名称 | 説明 |
|---|---|
| 会計監査 | 企業における会計業務の検証、評価を行う |
| 業務監査 | 企業で行われている様々な業務(仕事)について監査する |
| システム監査 | 企業で利用されている情報システムについて監査する |
| 情報セキュリティ監査 | 企業で行われている情報セキュリティ対策について監査する |
| 法定監査 | 法律で義務付けられている監査。会社法監査、公益法人監査など |
| 任意監査 | 依頼者の要請に応じて実施 |
システム監査の目的・手順
システム監査の目的
システム監査には、情報システムの信頼性、安全性、効率性を高める目的がある
システム監査人
客観的な立場で監督対象を検証・評価できる人で、監査を実施する人のこと。監査人は、被監査主体(監査対象となる企業や組織)と利害関係のない第三者であることが望ましい
監査目的によっては被監査主体の監査部門が実施する場合もある(内部監査)
| 公式認定資格: | システム監査技術者(IPA:情報処理推進機構) |
| 公認システム監査人(CSA)(システム監査人協会) 公認情報システム監査人(CISA) (情報システムコントロール協会)←国際資格 |
システム監査の手順
システム監査基準
情報システムを適切に監査するための仕組みのこと。システム監査を実施する際、システム監査人に求められる行動規範が示されている
監査証跡
情報システムや利用情報のログ、エラー状態のログなど、追跡調査ができるような情報のこと。それらを精査し、監査の目的である情報システムの信頼性、安全性、効率性などを証明する。すべてのログを検証するのは困難なため、システム監査計画の時点で必要な監査証跡を選定しておく
システム監査の対象業務
システム監査の対象業務は、システムの企画・開発・運用・保守というライフサイクル全般に及ぶ。システム監査を実施する目的、対象業務は、規程(内部監査規程)、契約書によって明確に文書化し、定める
システムの可監査性
システム監査を円滑に実施するため、情報システムは可監査性を意識して構築・整備する
| ●リスクに対する何らかのコントロールが存在している ●利用情報やレエラー情報のログなどをトレースできる |
システム監査計画
有効かつ効率的な監査を行うために、システム監査人は監査手続の内容、時期、範囲などについて、監査計画を立案し「システム監査計画書」にまとめる
システム監査の実施(予備調査、本調査、評価・結論)
システム監査人は、監査計画に基づいて十分な調査を行い、システムを検証又は評価する
システム監査技法:監査を行うための手法
●ドキュメントレビュー法:収集した情報や資料を基に調査する
●突合法・照会法:関連する記録を参照する
●最終結果に至るまでの記録を照合する
●現地調査法:現地に出向いて実際の作業状況を調査する
●インタビュー法:特定者に口頭をで質問する
監査証跡:システム監査を通じて知る得た情報を保全したもの
監査調書システム監査を通じて知り得た情報を文書化したもの
システム監査の報告
システム監査人は、監査結果を監査の依頼者に報告する(システム監査報告書)。所要の措置が講じられるようフォローアップを行う
保証意見:情報システムの信頼性や安全性、効率性について一定の保証を付与
する意見
助言意見:指摘事項、改善事項を述べたもの
改善提言改善提言のこと
システム監査の評価
システム監査の実施結果の妥当性を評価することが必要
その他の評価業務
| 情報セキュリティ監査 | 情報セキュリティに対して対策基準や対策方法などを第三者によって監査する。内部監査人や監査役によって行われる |
|---|---|
| 個人情報保護監査 | 個人情報保護の仕組みが「JIS Q 15001」の要求事項に適合するかを検証・評価する。「プライバシーマーク」の認定取得などに有効とされる |
| コンプライアンス監査 | 「著作権法」「不正競争防止法」「労働基準法」等、法規則の順守状況について検証、評価する |
内部統制
内部統制
企業や組織が業務を適正に実施するための体制を自ら構築し、運用していく仕組みのこと。
内部統制は、企業としての競争力を高めていくコーポレートガバナンスの一種として行われる
| 内部統制とは、基本的に業務の有効性及び効率性、財務報告の信頼性、事業活動に関わる法令等の遵守ならびに資産の保全の4つの目的が達成されているという合理的な保証を得るために、業務に組み込まれ、組織内のすべての者にとって遂行されるプロセスをいい、統制環境、リスク評価と対応、統制活動、情報と伝達、モニタリング(監視活動)及びIT(情報技術)への対応の6つの基本的要素から構成される |
内部統制の目的
内部統制には、業務活動を支援するために4つの目的があり、取締役会、経営者および従業員によって実施される
基本的に業務の有効性及び効率性
業務の有効性:業務目標が達成された度合い
業務の効率性:目標に対して、時間、人材、コスト等が合理的に使用されること
達成度や合理性を測定・評価する体制を整えることで業務目標の達成を支援する
財務報告の信頼性
業務報告に虚偽記載が生じることのないように体制を整え、財務報告の信頼性を支援する
事業活動に関わる法令等の遵守
法令、基準、規範などを遵守する体制を整え、事業活動のおける法令順守を支援する
資産の保全
企業が保有する資産の取得や使用、処分を正当な手続きのもとで行うための体制を整え資産の保全を支援する
コーポレートガバナンス
経営者が株主のため企業経営を行っているかを監視する仕組み
内部統制の基本的要素
内部統制には、COSOフレームワークに基づき、統制環境、リスク評価、統制活動、情報と伝達、監査活動、ITへの対応という6つの基本要素(評価基準)がある
統制環境
内部統制を実現するための基盤となる組織の環境(風土)を整える。具体的には、組織の目標や指針、行動規範などを明確にし、組織の一人一人に周知することで、意識を向上させる
リスク評価と対応
組織目標の達成を阻むと思われるリスクを識別し、分析・評価することで、リスクへの対応策を検討
統制活動
内部統制を業務活動の中に取り入れるための、指針や手続きのこと
| ●業務のプロセス、違法行為や不正行為などが発生するリスクを明確にする ●担当者の権限や職責を明確にするとともに、職務分掌を図る ●リスクに対応する際の実施ルールを設定し、適切に実施されているかどうか をチェックする体制を確立させる |
情報と伝達
組織内のすべての者が、必要な情報を正確に取得し、伝達、共有できるような環境を整備する
モニタリング
内部統制が正しく機能しているかを評価する。業務に組み込まれて行う「日常モニタリング」定期的又は随時に行う「独立的評価」、違法行為や不正行為などを知り得たものが行う「内部通報制度」などがある
ITへの対応
組織目標を達成するための方針や手続きを定めたうえで、業務の実施において必要とする情報システムを適切に取り入れること
| 名称 | 説明 |
|---|---|
| 準拠性 | 会計原則、会計基準、関連する法律などに準拠する |
| 網羅性(完全性) | 情報を漏れなく、重複なく記載する |
| 可用性 | 必要な情報を、必要な時に利用できる |
| 機密性 | 情報資産を保護し、不正な利用を防ぐ |
| 正確性 | 情報を正確に記録し、提供する |
| 維持継続性 | 情報の正確性を維持し、継続的に利用できる |
| 正当性 | 情報が正当な手続きを経たものであることを保証する |
| 整合性 | 異なるシステム、異なるファイル間などで情報のないように矛盾がないようにする |
| 名称 | 説明 |
|---|---|
| IT業務処理統制 | IT基盤の上で行われる会計業務や販売業務などで個々の業務処理に関して安全や信頼性を確保するために行う。対象は「業務処理」なので、IT全般統制より内容は具体的 |
| IT全般統制 | ITシステムを構築、運用・変更するときのルールを定めること、データ(特に財務報告に関する会計データ)のバックアップを取ること、アクセス管理をきちんとすることなど、ITシステムの基盤に関して破たんが生じないようにすることである。法律でいうと憲法のようなもの |
ITガバナンス
企業が競争力を高めていくコーポレートガバナンスの一環として、情報システム戦略の策定/実施を統制していく組織力のこと。システム監査や内部統制は、ITガバナンスの実現に寄与するものとして位置づけられている
法令順守状況の評価・改善
内部統制とコンプライアンスは切り離せない関係があり、情報システムの構築・運用において、対象となる業務や情報システムに関わる全ての法令を遵守しなければならない
内部統制に関する法律・・・金融商品取引法、会社法
個人情報保護法や著作権法なども意識しながら情報システムの構築・運用をする必要がある
