WEBマガジン

「システム監査の進め方」

2017.08.28 株式会社オージス総研  栗田 健史

今回は、「システム監査の進め方」を"システム監査内容の詳細化と評価の構造"を中心に、著者の経験に基づきポイントを説明します。進め方の一例として参考になれば幸いです。
なお、システム監査の歴史や「これからの内部監査部門に期待される役割」については、こちらで詳しく説明されていますので是非ご覧ください。
「これからの内部監査部門に期待される役割」~システム監査の有効性を高めていくために~(第1回第2回第3回)」

先ず、具体的なシステム監査の進め方(プロセス)を整理します。

1.システム監査のプロセス

『システム監査基準』(経済産業省)では、実施基準の中で監査の手順として「システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施しなければならない。」としています。『システム監査基準』では報告基準も示されており、これらの基準や著者の経験から、それら全体のプロセスを整理したものを図1、表1に示します。

システム監査のプロセス
図1:システム監査のプロセス

表1:システム監査のプロセスとタスク・成果物
システム監査のプロセスとタスク・成果物

上記図表では省略していますが、報告会の後、監査の結果に基づいて所要の措置が講じられるよう、「フォローアップ」(監査報告に基づく改善指導)を実施します。

2.システム監査内容の詳細化と評価の構造

さて、実際にシステム監査を進めるには、監査の内容を具体化・詳細化して評価可能なものにしていかなければなりません。システム監査には目的があり、その目的を実現するための監査テーマがあり、その監査テーマを確認していくための監査項目があり、監査項目を証跡やヒアリング結果などから評価するチェックポイントがあります。この監査テーマや監査項目、チェックポイントというものが何なのか?レベル感はどんなものなのかが分かりにくいと思います。これらを監査の進め方と合わせて概念的に示すと図2になります。

システム監査内容の詳細化と評価の構造
図2:システム監査内容の詳細化と評価の構造

図2で分かる通り、真ん中の"監査手続き"を中心に左右対称になっています。これは、監査目的>監査テーマ>監査項目>チェックポイントと監査内容を詳細化し、チェックポイントごとに"監査手続き"に従って評価を実施し、その結果に基づき監査項目単位の評価を行い、監査項目単位の結果に基づき監査テーマ単位の評価を行うという評価のロジックを示したものです。このような評価のロジックを監査計画の段階で明確にすることで、監査結果が監査人の独断や感覚ではなく、論理的に導かる結果であることを被監査組織に示します。実際の監査では、このような論理的な評価と合わせて監査人として判断した "よかった点"、"気づき"、"改善提案"を評価結果に含めることで、より有効なシステム監査となります。

3.システム監査の進め方

システム監査は、図2の左から右に進めます。先ずは、監査目的の設定です。

■監査目的

監査の目的は、監査活動の意義(何故その監査をやるのか)を示すものです。『システム監査基準』では「システム監査の目的は、組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独立かつ専門的な立場のシステム監査人が検証又は評価することによって、保証を与えあるいは助言を行い、もってITガバナンスの実現に寄与することにある。」と示されています。この原則を基に、経営やシステム部門の方針・計画・課題などを背景として、今回実施する監査の目的を設定します。

監査目的を設定したら、監査テーマの設定ですが、ここ以降は、「システム監査調書(例)」を見ながら具体的に説明していきましょう。

システム監査調書(例)
図3:システム監査調書(例)

図3は「システム監査調書」の例です。上半分(青色見出し)が監査手続きを実施するまでに記載しておくところ、下半分(赤色見出し)は監査手続きを実施した結果(評価)を記載する部分です。

■監査テーマ

監査テーマとは、監査目的実現のために、何処に焦点をおき監査するかを表した、具体的な監査の主題です。以下に観点を示します。調書に記載している"運用業務の管理手続きの制定状況及び遵守状況"は、"情報システムの遵守性"の観点を具体化した例です。
  1. . 情報システムの有効性(目的適合性、投資対効果など)
  2. . 情報システムの効率性
  3. . 情報システムの信頼性・可用性
  4. . 情報システムの安全性(情報セキュリティ、個人情報保護)
  5. . 情報システムの遵守性(システム開発/保守/運用、外部委託管理)

監査テーマ設定に当たっては、監査範囲を特定します。監査目的達成のために、監査手続きの適用範囲となり得る全対象から、制約条件(予算、監査側人数、被監査側の業務状態、実施期間など)を鑑み、対象範囲を特定したうえでテーマを決定します。

対象範囲として、どのような業務、どのようなシステム、どの組織などを決定します。

表2:監査対象
監査対象

制約条件によって異なりますが、通常一回の監査における監査テーマは1~3ぐらいが妥当でしょう。

■監査項目

"監査範囲"の中から抽出された、"監査手続き"が適用される対象のグループ、調書の単位=調書の見出しともいうべきものです。

■チェックポイント

監査項目について、評価する内容。監査手続きが適用される個々の単位。これが実際に証跡やヒアリングによって確認していく最小単位です。「何がどのような状態であるか」が明確で、"良い/悪い"が判断できるようにします。

これらの監査項目・チェックポイントは、視点の抜け漏れが無いよう公的な基準類を参考に作成します。代表的なものとして下記があります。
『システム管理基準』(経済産業省)
『セキュリティ管理基準』(経済産業省)
『金融機関等のシステム監査指針』(FISC金融情報システムセンター)
これらの基準類では、具体的なチェックポイントの参考となる例が示されています。(表3、表4)これらの例と調書の対応を表5に示します。

表3:『システム管理基準』の内容例
『システム管理基準』の内容例

表4:FISC『システム監査指針』の内容例
FISC『システム監査指針』の内容例

表5:調書と基準類の対応
調書と基準類の対応

■監査手続き

監査人が、監査項目に対する合理的な評価、結論を得るために、チェックポイントに対して監査技術を選択し、適用する手順です。代表的な例は、証跡の査読、ヒアリング、現地調査、質問票による確認などです。

この後、監査手続きを実施した結果を集約し調書としてまとめ、その結果を確認・分析・評価して監査報告書を作成しますが、これらについては別の機会にしたいと思います。

*本Webマガジンの内容は執筆者個人の見解に基づいており、株式会社オージス総研およびさくら情報システム株式会社、株式会社宇部情報システムのいずれの見解を示すものでもありません。

『WEBマガジン』に関しては下記よりお気軽にお問い合わせください。

同一テーマ 記事一覧

「内部統制におけるアクセスコントロールの効率化 その3」

2013.11.11 ITガバナンス 株式会社オージス総研  栗田 健史

「内部統制におけるアクセスコントロールの効率化 その2」

2012.09.11 ITガバナンス 株式会社オージス総研  栗田 健史

「リスクをどのようにして見つけますか?」

2011.10.04 ITガバナンス 株式会社オージス総研  栗田 健史

「内部統制におけるアクセスコントロールの効率化」  

2010.10.03 ITガバナンス 株式会社オージス総研  栗田 健史