スポンサーリンク
TechGO(テックゴー)

【応用情報技術者試験】システム監査を学ぼう!     ~第1章~システム監査の基礎

システム監査は、企業の情報システムが抱えるリスク(情報漏洩、システムダウン、不正操作など)を独立した第三者が点検・評価し、安全性、信頼性、効率性を確保するための改善提案を行う活動です。経済産業省の「システム監査基準」に基づき、経営目標の達成を支援します。 

画像参照:http://www.maehashi.co.jp/stms/system_audit/

システム監査の目的

情報システムにまつわるリスクが適切にコントロールされているかを確認し、以下を実現します。 

  • リスク管理の強化: サイバー攻撃やデータ漏洩の防止、被害の最小化。
  • 業務効率・効果の向上: システムが経営戦略に合致し、効率的に運用されているか点検。
  • 法令・規制の遵守: コンプライアンスの強化(個人情報保護法、金融商品取引法など)。
  • 経営への助言: 経営者への報告を通じた経営活動の改善支援。 

システム監査の流れ

通常、以下のステップで進められます。 

  1. 計画・準備: 監査範囲、対象システム、期間、手法(インタビュー、ログ分析など)を決定。
  2. 予備調査: 対象システムの実態を把握し、リスクの高い箇所を特定。
  3. 本調査: 現場査察、インタビュー、文書確認、データ分析等を実施。
  4. 結果報告: 監査報告書(発見された問題点、改善案)の作成・提示。
  5. フォローアップ: 改善案の実施状況を確認。 

システム監査基準と主な監査対象

経済産業省の「システム監査基準(経済産業省)」がガイドラインとなり、以下の点がチェックされます。 

  • ITガバナンス: 組織的なIT方針や体制が整備されているか。
  • 開発・運用の安全性: システム開発・運用プロセスは適切か。
  • セキュリティ対策: 不正アクセスやウイルス対策が有効か。 

システム監査人(体制・資格)

監査は、独立した立場(社内の内部監査部門、または外部の専門機関)が実施します。必須資格はありませんが、以下の資格が評価の目安となります。 

  • システム監査技術者: 日本の国家試験。
  • CISA (公認情報システム監査人): 国際的な専門資格。
  • 公認システム監査人 (SAAJ): 日本システム監査人協会による認定。 

「IT監査」との違い

  • システム監査: 情報システムの信頼性、安全性、効率性など全体を評価する。
  • IT監査: 主に財務報告の信頼性を確保するため、財務システムを点検する(会計監査の一環)。 

現代のビジネスにおいて、DXやサイバー攻撃への対応として、システム監査の重要性は高まっています。

監査の種類

システム監査は、IT環境の安全性、信頼性、効率性を評価・改善するための手続きで、実施主体により「内部監査(自社)」と「外部監査(第三者)」に分類されます。目的別ではセキュリティ、コンプライアンス、運用、業務プロセス監査などがあり、保証型(評価)と助言型(改善提案)に大別されます。 

システム監査の種類は以下の通りです。

実施主体による分類

  • 内部監査:組織内部の専門部署が実施。社内ルール遵守状況の確認やリスク管理を行う。
  • 外部監査:公認会計士やシステム監査人などの外部の専門家が実施。客観的で信頼性の高い評価を提供する。

目的・対象による分類

  • セキュリティ監査:情報セキュリティ(機密性・完全性・可用性)が確保されているかを検証。
  • コンプライアンス監査:法律、業界規制、内部規定に準拠しているか確認。
  • システム運用監査:日常のシステム運用が適切に行われているかを検証。
  • 業務プロセス監査:システムが業務を効率的かつ効果的にサポートしているか評価。

役割(タイプ)による分類

  • 保証型監査:基準(ISO/JISなど)に基づき、対策が適切かどうかの「お墨付き」を与える。
  • 助言型監査:問題点の検出だけでなく、改善に向けた具体的な提案を行う。

システムのライフサイクルによる分類

  • 企画・設計・開発フェーズの監査:要件定義や開発プロセスが適切かを確認。
  • サービス開始・運用フェーズの監査:安定稼働や効果が出ているかを検証。

システム監査は、単なる欠陥チェックではなく、最終的に会社の情報システム環境を「安全・有効」な状態に改善し、最適な姿に近づけることを目的としています。

監査人の独立性

監査人の独立性とは、公認会計士や監査法人が、被監査会社から独立した立場で、利害関係に縛られず、公正・客観的に監査を行う能力と姿勢を指します。精神的独立性(公正な心構え)と外観的独立性(第三者から見て客観的に見えるか)の2面が不可欠であり、これらが監査の信頼性を支えます。

詳細なポイント

  • 精神的独立性: 監査人が個人的、経済的、業務的な関係から影響を受けず、偏りなく意見を形成する精神状態。
  • 外観的独立性: 第三者から誠実性や客観性が損なわれていると疑われるような事実や環境(利害関係)を避けること。
  • 独立性を脅かす要因: クライアントからの過度な報酬、株式保有、親密な関係(個人的・経済的)、非監査業務の提供など。
  • 確保のための対策: 監査対象会社の株式売買禁止、パートナーのローテーション、監査報酬の適切な管理、独立性チェックのシステム化などが挙げられます。 

具体的には、金融機関が監査対象の場合、その銀行口座を利用する際も過剰な特典を受けるなどの行為は避ける必要があり、独立性が疑われる場合は業務辞退や再割り当てが求められます。

システム監査報告とフォローアップ

システム監査報告は、情報システムの不備やリスク、改善点を経営陣に報告する最終成果物です。その後、指摘された是正措置が実施されているかを確認する「フォローアップ」を監査人がモニタリングすることで、監査の有効性を高め、実際の業務改善につなげます。 

システム監査の「報告」と「フォローアップ」の要点

  • 監査報告書(報告)
    • 目的: 監査証拠に基づき、システムの安全性、信頼性、効率性を客観的に評価し、経営陣に報告する。
    • 内容: 指摘事項、問題点、改善勧告・提案。
    • 提出先: 監査依頼者(経営陣など)。
  • フォローアップ(事後確認)
    • 目的: 改善計画や是正措置の実施状況をモニタリングし、監査の効果を最大化する。
    • 重要性: 監査報告だけでは改善が担保されないため、具体的な是正が行われたか確認する必要がある。
    • 方法: 改善状況の報告を求める、追加のヒアリングや調査を実施する。
  • フォローアップ時の留意点(監査人の役割)
    • 主体: 改善の主体はあくまで「被監査部門(現場)」であり、監査人は助言やモニタリングを行う。
    • 独立性: 監査人自身が改善計画を策定したり、実施を指示・管理してはならない(客観性が損なわれるため)。
    • 成果: フォローアップ結果を「フォローアップ報告書」としてまとめ、経営陣に報告する。

フォローアップは、PDCAサイクルの「Check(評価)」と「Act(改善)」を強化し、継続的なシステム改善を促進する重要なプロセスです。

可監査性

可監査性とは、情報システムや業務プロセスが、ログ、手順書、証拠書類によって適正に管理され、第三者による監査やレビューが容易に実施できる状態を指します。単に「監査可能であること」を意味し、内部統制の有効性証明や法令遵守(コンプライアンス)の観点で不可欠な性質です。 

特徴と詳細

  • 具体的にできること: 「誰が」「何を」「いつ」操作したかの追跡、監視、記録。
  • 求められる証拠: ログ(イベントログ)、処理手順書、設定情報、変更履歴などが完全かつ容易に抽出・解析できる状態。
  • 目的:
    • 内部統制の強化: 社内ルールや業務手順が正しく運用されているかの客観的な評価。
    • 不正・ミスの防止: 誰が何をしたか追跡可能にすることで、不正な操作やミスを抑制・検知する。
    • コンプライアンス対応: 法令やガイドラインに準拠したシステム運用を証明する。 

可監査性を高める方法

  1. 詳細なログの取得と保管: すべての重要なイベント操作ログを記録し、改ざん不可能な方法で一定期間保存する。
  2. 標準化された手順書: 誰が担当しても同じ結果になるよう、業務プロセスやシステム設定の手順をドキュメント化する。
  3. 役割分担(職務分離): アクセス権限を適切に管理し、処理を行う人とそれを承認する人を分ける。 

ITシステムにおいては、システム監査人が「適切に運営されているか」を客観的に評価できるように、システム構築段階から可監査性を意識した設計が求められます。 

監査証跡

監査証跡(オーディットトレイル)とは、システムや業務プロセスにおいて「いつ、誰が、何を、どのように」操作したかという記録を時系列に保存したログデータのこと。不正行為の検知、情報セキュリティの確保、監査時の証拠として機能し、データの信頼性を担保する。 

主なポイント

  • 目的: セキュリティ向上、不正・改ざんの抑止、コンプライアンス遵守(ISO/IEC 27001、GDPR等)。
  • 記録内容: ログイン、データ変更、削除、アクセスログなどの操作記録。
  • 特徴: 監査人以外が編集・削除できない設定にするのが一般的。
  • 重要性: 治験データや製造記録、銀行取引などのトレーサビリティ確保に不可欠。 

監査証跡を一元管理することで、不正の追跡や異常発生時の原因究明が迅速に行える。

監査証拠の種類

監査証拠は、財務諸表の適正性を判断するために監査人が収集する情報であり、主に「会計記録」と「その他の情報」に分類されます。内部・外部からの書面や口頭での回答、実査・立会などの手続きで得られる証拠が該当し、信頼性が高いもの(外部からの直接証拠など)が好まれます。 

構成要素別の分類

  • 会計記録に含まれる情報: 仕訳帳、総勘定元帳、補助元帳、原価計算資料、請求書、領収書、契約書、財務諸表の基礎となるデータ。
  • その他の情報: 取締役会議事録、ヒアリング(質問)の回答、専門家の意見書、実査・立会・確認などで得られた証拠。 

信頼性(根拠)による分類

  • 外部証拠: 金融機関の残高確認書、取引先からの回答、専門家による報告書など(信頼性が最も高い)。
  • 内部証拠: 被監査会社の作成した議事録、請求書、従業員の質問回答(信頼性は統制環境に依存)。

形態による分類

  • 文書的証拠: 確認の回答書、契約書、受領書、議事録など。
  • 口頭的証拠: 経営者や従業員へのヒアリングに対する回答。
  • 物理的証拠: 監査人が実査・立会で直接確認した在庫や現金。 

主な監査手続きと収集される証拠の例

  • 実査: 現金、有価証券、棚卸資産の物理的な存在確認。
  • 立会: 棚卸し、検収現場への立ち会い。
  • 確認: 金融機関や取引先から直接回答を得て裏付ける。
  • 質問: 従業員への尋問。
  • 閲覧: 議事録や契約書の内容チェック。
  • 証憑突合: 帳簿記録と領収書・請求書を照合。 

証憑(しょうひょう)
請求書、領収書、契約書など、企業取引の事実や内容を客観的に証明する書類・データの総称です。

監査人は、これらの中から十分(量)かつ適切(質)な証拠を入手し、「合理的確信」を得なければなりません。

監査調書

監査調書は、監査人が実施した監査手続、入手した証拠、そして判断・結論を記録した文書です。監査報告書の根拠となる重要書類であり、適正な監査が行われたことを客観的に証明する役割を果たします。紙や電子データで保管され、被監査側の機密事項を含むため厳重に管理されます。

主な内容

  • 監査計画: どのような方針で監査を行うか
  • 実施した監査手続: 手続きの内容、範囲、時期、結果
  • 入手した証拠資料: 契約書、確認書、分析データなど
  • 監査人の結論・判断: 監査で見つかった問題点や、最終的な意見

目的と役割

  1. 監査報告書の根拠: 監査人がどのような証拠に基づいて「適正」と判断したかを記録する
  2. 監査の質の証明: 監査基準に準拠して、計画的に監査が行われたことを証明する
  3. 責任の明確化: 誰が、いつ、何をチェックしたかを明確にする
  4. 後のレビュー: 監査後に品質管理レビューなどで利用される 

監査調書作成のポイント

  • 客観性と透明性: 第三者が見ても、どのように結論に至ったかが分かるように記載する
  • 網羅性: 重要な発見事項やリスク、例外的な事例は必ず記録する
  • 適切かつ迅速な記録: 監査人の記憶が新しいうちに作成する 

監査調書と報告書の違い

  • 監査調書: 監査の過程や根拠となるメモや資料(内部資料)
  • 監査報告書: 監査の結果をまとめた文書(外部へ報告する最終成果物) 

なお、日本公認会計士協会によれば、監査調書は一般的に会計監査の証拠として位置づけられています。

ITシステムの内部統制機能

ITシステムの内部統制(IT統制)とは、財務報告の信頼性や業務の有効性・効率性、情報セキュリティを確保するため、IT環境を適正に管理・統制する仕組みです。

主な統制機能

予防牽制機能

予防牽制機能は、不正や誤謬を未然に防ぐため、システム上のアクセス制限、職務分掌(承認・記録・保管の分離)、自動化された承認ワークフローなどを通じて、取引の発生や処理をコントロールする仕組みです。これは、職務の相互チェックを自動化し、企業資産の保護や財務報告の信頼性を確保する役割を果たします。

誤謬(ごびゅう)
論理的な推論における間違い、または認識や判断の誤り(謬)を指す言葉です。

職務分掌(しょくむぶんしょう)
組織内の役職・担当者ごとに、業務内容、権限、責任の範囲を明確に定め、適切に配分する仕組みのことです。

具体的な予防牽制機能

  • アクセス制限とログ管理: 業務に必要な権限だけを付与し、未承認の変更や操作を防ぐ。誰がいつアクセスしたかの記録を管理する。
  • 職務分掌のシステム化: データの入力担当者と、それを承認する管理職をシステム上で完全に分ける。
  • 自動承認ワークフロー: 所定の手続きや金額基準に達した場合、自動的に上長の承認を必須とする。
  • システムバリデーション(整合性チェック): 入力データの不備や、設定値の範囲外の数値が入力された場合にエラーを出して処理を停止する。 

メリット

  • 不正の未然防止: 個人による不正操作や、誤ったデータ入力の機会を事前に排除する。
  • ガバナンス強化: 業務プロセスの可視化と標準化が促進され、不正が起こりにくい環境を構築できる。
  • 効率化と確実性: 手作業によるダブルチェックの限界を克服し、確実な処理とガバナンスの両立が可能になる。 

IT統制(特に業務処理統制)では、これらの機能が正しく設定・運用されているかを継続的に監視・監査することが重要となります。

誤謬摘示機能

誤謬摘示機能(ごびゅうてきじきのう)とは、業務処理やITシステムにおいて、誤り(誤謬)や不正が発生した際に、それを速やかに検知し、報告・警告する内部統制機能のことです。トラブルの早期発見により、被害の拡大を防ぐ「モニタリング」の役割を果たします。

概要

  • 定義: 業務処理の過程で誤謬や不正が発生した場合にそのことを速やかに検知し、報告・警告する機能です。
  • 目的: 不正やエラーを早期に発見し、速やかな修正・回復につなげること。
  • 役割: 内部統制の「統制活動」や「モニタリング(監視活動)」の一部として位置づけられます。 

具体的な機能の例

  • データ処理の検証・認証: 入力データに異常がないか、不適切な処理が行われていないか確認する機能。
  • リミットチェック: 異常な数値(桁違いの金額など)が入力された場合にアラートを出す機能。
  • 監査証跡の生成: いつ、誰が、何を処理したかを記録し、後から問題の発生源を特定できるようにする機能。

修正回復機能

修正回復機能とは、業務プロセスやシステムにおいて予期せぬ不備、エラー、障害、あるいは不正が発生した際に、それを速やかに検知し、正常な状態に戻すための仕組みのことです。

具体的には、以下の3つの側面が重要となります。

  1. 異常の迅速な検知
    • 定期的なモニタリングや異常値のチェックにより、問題が発生したことを即座に把握する。
  2. 不備の是正(修正)
    • 財務報告の信頼性に関わる誤りや、業務上のミスを早期に訂正・修正し、正しい状態へ補正する。
  3. システム・データの回復(回復)
    • システム障害や災害時、重要なデータをバックアップから復旧させ、ビジネスを継続可能な状態へ復帰させる。

具体的な修正回復機能の例

  • バックアップとリストア: 定期的に重要データをバックアップし、システム故障時にデータを復元する運用ルール。
  • 異常値のレポートと承認: 経費精算や勤怠データが一定の閾値を超えた場合に、自動的に上長の承認を求め、不正やミスを防止する。
  • ログの定期点検とアカウント削除: 退職者や不要なアカウントを速やかに削除・修正し、不正アクセスのリスクを低減する。 

修正回復機能は、内部統制の「モニタリング(監視活動)」と「統制活動」の要素の一部であり、リスクを低減する仕組み(内部統制システム)を適切に運用するために欠かせない要素です。

誤謬摘示機能との違い
誤謬摘示機能が「エラーや不正を見つける(検知)」役割であるのに対し、
修正回復機能は「見つかった問題を直す(修正)」役割を担います。

コメント