https://www.meti.go.jp/policy/netsecurity/sys-kansa/sys-kansa-2023r.pdf
より取得したPDFをGoogleDriveでDocsで開いたものをコピペしたものです。自分が読む用…。
システム監査基準
経済産業省
令和 5 年 4 月 26 日
目次
前文(システム監査基準の活用に当たって) ........................... 1 システム監査の意義と目的 ........................................... 7 監査人の倫理 ....................................................... 8 システム監査の基準 ................................................ 10
[1]システム監査の属性に係る基準 ................................ 10 【基準1】システム監査に係る権限と責任等の明確化 .................. 10 【基準2】専門的能力の保持と向上 .................................. 12 【基準3】システム監査に対するニーズの把握と品質の確保 ............ 14 【基準4】監査の独立性と客観性の保持 .............................. 17 【基準5】監査の能力及び正当な注意と秘密の保持 .................... 18 [2]システム監査の実施に係る基準 ................................ 19 【基準6】監査計画の策定 .......................................... 19 【基準7】監査計画の種類 .......................................... 25 【基準8】監査証拠の入手と評価 .................................... 26 【基準9】監査調書の作成と保管 .................................... 28 【基準10】監査の結論の形成 ...................................... 29 [3]システム監査の報告に係る基準 ................................ 30 【基準11】監査報告書の作成と報告 ................................ 30 【基準12】改善提案(及び改善計画)のフォローアップ .............. 32
システム監査基準・システム管理基準の共通用語集(分類別) .......... 34 システム監査基準の用語集(五十音順) .............................. 39
i
前文(システム監査基準の活用に当たって)
・システム監査基準の意義と適用上の留意事項
システム監査とは、監査人が、一定の基準に基づいて IT システムの利活用に 係る検証・評価を行い、ガバナンスやマネジメント等について、一定の保証や 改善のための助言を行うものであり、システムの信頼性等を確保し、企業等に 対する信用を高める重要な取組である。
今日社会での IT や情報システム、さらにはデータ・情報(本監査基準におい て、IT、情報システム、データ・情報をまとめた概念として「IT システム」と いう。)の利活用は、会社やその他組織体の諸活動全般に及んでいる。IT シス テムの戦略的利活用は、組織体の価値の向上や会社の競争力の維持、向上を図 る上で不可欠である一方、それに伴いリスクも増大している。組織体が適切に リスク・マネジメントを行い、価値向上のために IT システムの利活用を適切に 行うことを確実にするために、システム監査が効果的・効率的に行われること が必要である。
システム監査が効果的かつ効率的に行われるためには、システム監査のある べき体制や実施方法等が示される必要がある。この「システム監査基準」(以下、 「本監査基準」という。)は、このニーズに応えるために制定されている。 なお、近年デジタル・トランスフォーメーション(以下、「 DX」という。)を進め る上でも鍵となるデジタル技術等を含める概念として、「テクノロジー」という 用語も用いられているが、本監査基準では、IT という用語をその意味も込めて 用いている。
本監査基準は、システム監査実施の前提となる「システム監査の意義と目的」、 「監査人の倫理」と監査の体制や実施のあり方を示した「システム監査の基準」 から構成されており、組織体の監査役(会)等(監査役設置会社の監査役会及 び監査役、等)や内部監査部門等が実施するシステム監査だけでなく、組織体 の外部の第三者に依頼するシステム監査においても適用又は参考にされる。ま た、取締役や経営者、管理者がガバナンスやマネジメントの視点から IT システ ムの利活用を監視、監督、あるいは点検や確認等を行う際にも参考になるもの である。
1
さらに、本監査基準は、中小規模の企業や、各府省庁、地方公共団体、病院、 学校法人等、各種組織体が各種目的をもってシステム監査を行う場合にも利用 ないし参考にできるように、汎用性のある内容となっている。
・システム監査上の判断尺度
本監査基準に基づくシステム監査においては、IT システムのガバナンス、マ ネジメント、コントロールを検証・評価する際の判断の尺度として、「システム 管理基準」又は当該基準を組織体の特性や状況等に応じて調整編集した基準・ 規程等を利用することが望ましい。なお、システム監査は各種目的あるいは各 種形態をもって実施されることから、他のガイドラインや組織体独自の諸規程・ マニュアル等を、システム監査上の判断尺度として用いることもできる。特に、 情報セキュリティの監査に際しては、「システム管理基準」とともに、「情報セ キュリティ管理基準」も参照することが望ましい。
・本監査基準改訂の背景と主要な改訂内容
本監査基準は、昭和 60 年( 1985 年)1月に策定され、その後、平成8年( 1996 年)1月、平成 16 年(2004 年)10 月、平成 30 年4月(2018 年)に改訂がさ れてきたが、その後もシステム監査を巡る IT 環境の継続的な変化や、システム 監査に対するニーズの多様化がみられたことから、それらを踏まえて基準の構 成や内容を見直しすることとした。
具体的な環境変化やニーズの多様化とは、AI の発展と DX の普及、サイバー 攻撃の高度化・複雑化等による新たなリスクの発生、システム・マネジメント の基となるガバナンスの重要性増加、いわゆるスリー・ラインズ・モデル等で いわれる各種のモニタリング活動とシステム監査の連携の重要性増加、システ ム監査における品質管理等の有効性への期待の高まり、アジャイル型監査の普 及等監査方法の多様化等である。更に言えば、組織体の目的・目標の達成のた めに、カメラやセンサー、集音器等からの情報が産業システムに送られ、さら にそのデータが情報システムである AI に送られ、AI がそのデータを分析する といった産業システムと情報システムの連携・協働といったテクノロジーの利 活用も行われてきている。
2
当然のことながら、システム監査の基本的な原則や規準は普遍的なものであ り頻繁に変えられるべきものでないものの、こういったシステム監査を取り巻 く技術革新や社会情勢の変化等の環境の変化に対応してこそ、本監査基準はよ り有効なものとなる。
そのため、今回の改訂においては、システム監査に係る文書として、監査に とって普遍的な内容は本監査基準に記述し、実施方法等のシステム監査を取り 巻く環境の変化への対応が期待されるより具体的な内容については、環境の変 化へのより迅速な対応が可能となるよう、システム監査基準ガイドライン(以 下、単に「ガイドライン」という。)を新たに民間団体により整備するという体 制に変更することとした。
また、今回の改訂では、「システム監査の基準」の前に「システム監査の意義 と目的」と「監査人の倫理」の項目を設けている。
「前文」に続き、最初に「システム監査の意義と目的」の項目を設けた意図 は、監査人に求められる倫理及びシステム監査に要求される具体的な基準の内 容は、「システム監査の意義と目的」に基づいて決まっていくことからである。 逆に言えば、「システム監査の意義と目的」を達成するための倫理と基準である 必要がある。
次に「監査人の倫理」の項目は、倫理が適切な監査行為の前提となるため、 「システム監査の基準」の前に置いた。監査人が、システム監査に期待されて いる様々なシステム監査の意義と目的を達成するためには、監査人は高い倫理 観が要求される。監査という外面的な行為を導く内面の倫理が監査の品質を担 保する根本的な要素となる。前述のように IT やシステム監査を巡る環境変化 が著しい昨今、本監査基準やガイドラインを適切に運用していく上でも倫理は 必須となる。倫理を土台に監査人が監査の目的を達成する監査を実施していく ことで、監査人は信頼を得ることになる。
なお、本監査基準では、「監査人の倫理」は監査人の立場から、「システム監 査の基準」はシステム監査機能の立場から記述している。倫理は最終的には個々 の監査人に帰せられるべき事項であるのに対して、システム監査の基準はシス テム監査機能(監査人や監査チーム等の提供する機能)のあり方を示す必要が あるからである。
3
また、各基準の補足的な説明や、実務上の望ましい対応や留意事項を「解釈 指針」として記述した。
・監査人と取締役会等、経営者との関係
本監査基準において、監査人とは、独立にして客観的な立場から情報システ ムに係る保証や助言の活動を行う者を指し、ガバナンスの一翼を担う会社法上 の監査役(会)等とその補助使用人、内部監査人、組織体からの依頼により監 査を行う組織体の外部の第三者が含まれる。
監査役(会)等は、法令の定めるところにより株主からの委任により、取締 役の業務執行に対する監査の一環としてシステムに係る監査を行う。したがっ て、ガバナンスに対する監査を実施することになる。
内部監査人や外部監査人は、取締役会等(取締役会、理事会等)や経営者か らの委託により、IT システムに係る監査を実施し、その結果を報告することに よりガバナンス、マネジメント、コントロールに役立つ監査を行うことになる。 なお、取締役会等からの指示や監査役(会)等からの依頼により内部監査人や 外部監査人がガバナンスに対する監査を行うこともあり得る。
また、監査業務は保証を目的としたシステム監査と助言を目的としたシステ ム監査から成り立っている。
保証を目的としたシステム監査には、監査対象となる組織体、業務、機能、 プロセス、情報システム等(以下、「監査対象先」という。)について、監査の 意見又は結論を得る基礎として、監査人が入手した証拠を客観的に評価するこ とが含まれる。保証を目的としたシステム監査の内容と範囲は、監査人が決定 する。一般的には、
次の三者が当事者となる。
(1) プロセス・オーナー:事業体、業務、機能、プロセス、システム若し くはその他の監査対象事項に直接関わる者又はグループ、 (2) 監査人:評価を行う者又はグループ
(3) 利用者:評価結果を利用する者又はグループ
システム監査においては、プロセス・オーナーには監査対象先が、監査人に は内部監査人や外部監査人が、利用者には経営者や取締役会等が一般的には該
4
当する。なお、外部監査の場合には、組織体外部の第三者にシステム監査の実 施を依頼する者がおり、取締役会、経営者等がその監査の依頼者となる。 また、監査役(会)等の監査においては、プロセス・オーナーには取締役や 監査対象先が、監査人には監査役(会)等が、利用者には株主が一般的には該 当する。
助言を目的としたシステム監査の性質は、助言に加えて提案や相談の提供で あり、一般に、依頼者からの具体的な要請に基づいて実施される。個々の助言 業務の内容と範囲は、依頼者との合意による。一般的には、助言を目的とした システム監査では、次の二者が当事者となる。
(1) 監査人:助言を提供する者又はグループ
(2) 依頼者:助言を必要として、これを受ける者又はグループ ただし、監査の性格においては、当事者が増加ないし変化する場合がある。 助言業務を実施するに当たっても、監査人は、客観性を維持すべきであり、 また、管理者としての職責を負ってはならない。
・本監査基準への適合
本監査基準の記述形式については、システム監査の実施に際して適合が求め られる「基準」を「しなければならない」と記述し、各基準の補足的な説明や、 実務上の望ましい対応や留意事項を「解釈指針」として記述した。
5
本監査基準に沿って監査を実施した監査人は、必要な場合には、実施したシ ステム監査を本監査基準に適合して実施したことを説明しなければならない。 また、法令の定めや環境等により、本基準の特定部分への適合が制約される
ことがある場合や適合できなかった部分がある場合は、その制約の内容や適合 できなかった部分を、その理由とともに開示する必要がある。 なお、本監査基準を他の権威ある機関から出されている要求事項(以下、「他 の要求事項」という。)とともに用いるときには、必要な場合は使用した他の要 求事項についても言及しなければならない。
また、本基準で用いられる用語とその用法については、用語集に説明が記載 なされており、この用法に従って本監査基準は読まれる必要がある。
【参考】システム監査基準の概観
システム監査の意義と目的 監査人の倫理 システム監査の基準システム監査の属性 システム監査の実施 システム監査の報告 基準1 基準6 基準11 基準2 基準7 基準12 基準3 基準8 基準4 基準9 基準5 基準10 |
6
システム監査の意義と目的
システム監査とは、専門性と客観性を備えた監査人が、一定の基準に基づい て IT システムの利活用に係る検証・評価を行い、監査結果の利用者にこれらの ガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、 又は改善のための助言を行う監査である。
また、システム監査の目的は、IT システムに係るリスクに適切に対応してい るかどうかについて、監査人が検証・評価し、もって保証や助言を行うことを 通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそ れらの変革を支援し、組織体の目標達成に寄与すること、及び利害関係者に対 する説明責任を果たすことである。
7
監査人の倫理
システム監査は、監査人の誠実性及び専門的な能力を信頼し依頼されるもの であり、監査人はその期待に応え、責任を果たすことが求められ、業務に関す る説明責任を果たすこととなる。
さらに、システム監査が結果として、広く社会的な信用につながるには、個々 の利用者・依頼人の要請を満たすだけではなく、監査人が独立した立場におい て、社会的役割を自覚し、自らを律し、かつ社会の期待に応え、公共の利益に 資することができなければならない。
IT の進展をはじめ、監査の対象となるシステムを巡る環境変化が激しいこと もあり、監査の方法の選択や監査結果の判断に関して、種々の価値観の中で適 切な意思決定をするためには、監査人の倫理が重要である。加えて、IT 利活用 の高度化により、システム監査においても機密性の高い情報に触れる機会が増 加しており、倫理に関して社会的な要請が高まっていることを意識しなければ ならない。
倫理に関して監査人が守るべき4つの原則を以下に明示する。
○ 誠実性
監査業務において、常に正直な態度を保持し、強い意志をもって適切に 行動すること。監査人が誠実であることによって信頼が築かれることから、 誠実性は、自らの判断が信用される基礎となる。
○ 客観性
監査業務において、バイアス(先入観等)、利益相反を排し、個人や組織 等から不当な影響を受けることなく、監査人としての判断を行うこと。監 査人としての判断が不当な影響を受ける場合、当該業務を引き受けてはな らない。
○ 監査人としての能力及び正当な注意
監査業務において、必要な知識、技能を習得し、維持すること、及び誤っ た監査上の判断がないように、システム監査の基準に従って、監査人とし て当然払うべき注意を払うこと。
○ 秘密の保持
8
監査業務において、取得した情報の秘密性を尊重し、業務上知り得た秘 密を守ること。法令等による守秘義務の解除を除き、依頼人又は所属する 組織との関係が終了した後も、秘密の保持が求められる。
9
システム監査の基準
[1]システム監査の属性に係る基準
【基準1】システム監査に係る権限と責任等の明確化
システム監査を実施する意義、目的、対象範囲、並びに監査人及びシステ ム監査を行う組織の権限と責任は、文書化された規程等により定められてい なければならない。 |
<主 旨>
効果的かつ効率的なシステム監査を実現するための体制整備として、監査人 及びシステム監査を行う組織の権限と責任を組織体の内部監査規程等によって 明確にし、組織体全体に周知しておく必要がある。
また、システム監査を外部委託する場合には、委託先の権限と責任を契約書 等の文書で明確に定めておく必要がある。
<解釈指針>
1. システム監査を行う組織は、効果的かつ効率的なシステム監査を実現す るため、システム監査に関する規程を整備する。システム監査に関する規 程は、組織体の内部監査規程の一部として、あるいは内部監査規程とは別 に定められる。
システム監査に関する規程は、内部監査規程と同様の承認プロセスを経 た上で、組織体全体に周知される。
2. 組織体の内部にシステム監査を行うのに適切な監査人が存在しない場合、 システム監査の実施に高度な技能を必要とする場合、遠隔地の監査対象先 にシステム監査を実施する場合等においては、システム監査の全部又は一 部を、組織体外部の専門家に委託する場合がある。
このような場合には、委託契約書等の文書に、委託するシステム監査業 務の内容、及び受託する専門家の権限と責任等を明確に記載する。 (1) システム監査の全部又は一部を組織体外部の専門家に委託する場合、 当該専門家と密接に連携し、当該専門家に対する適切な監督を行うこ とが重要である。
10
(2) 外部委託先の専門家は、原則として、委託元の組織体と身分上又は経 済上の特別な利害関係を有してはならない。特別な利害関係を有する 者を外部委託先とする場合は、システム監査業務に影響を及ぼさぬよ う適切な措置を講じなければならない。
(3) システム監査の全部又は一部を組織体外部の専門家に委託する場合 であっても、組織体のシステム監査を行う組織の長は、システム監査の 最終的な責任は自らにあることを認識しなければならない。
11
【基準2】専門的能力の保持と向上
適切な教育・研修と実務経験を通じて、システム監査に必要な知識、技能 及びその他の能力を保持し、その向上に努めなければならない。 また、組織体のシステム監査を行う組織の長は、効果的かつ効率的なシス テム監査に必要な知識、技能及びその他の能力を、システム監査を行う組織 が総体として備えているか、又は備えるようにしなければならない。 |
<主 旨>
システム監査の信頼性を保つためには、専門的な観点からシステム監査が実 施される必要がある。また、組織体の状況変化や IT 環境の変化に対応した品質 の高いシステム監査を実施するためには、IT システム及びシステム監査に関す る専門的知識や技能を保持する必要があり、さらに論理的思考能力やコミュニ ケーション能力等も求められる。
継続的な教育・研修と実務経験を通じて、効果的かつ効率的なシステム監査 を行えるよう、必要な知識、技能及びその他の能力の向上を図ることが必要で ある。
<解釈指針>
1. システム監査を効果的かつ効率的に実施するためには、システム監査の 目的や対象範囲に応じて、適切な知識や技能を有する者がシステム監査を 実施する必要がある。
(1) 例えば、サイバー攻撃等の対策が効果的に実施されているかどうかの 監査が求められる場合と、IT システムのガバナンスが適切に機能して いるかどうかの監査が求められる場合とでは、監査人に求められる知識 や技能は異なったものとなることが想定される。システム監査それぞれ の目的や対象範囲に応じて、適切な知識や技能を有する者がシステム監 査を担当する必要がある。
(2) システム監査の実施に必要な知識や技能の保持及び向上には、組織体 内外の講習会等の活用と併せ、OJT 等を通じた実務経験も重要である。 2. IT システムのガバナンスとマネジメント、及びシステム監査に関する基
12
本的な知識や技能に加えて、経営戦略、ガバナンス、リスク・マネジメン ト、内部統制及び関連法令等に関する幅広い関連知識を有することが求め られる。なお、システム監査の目的や対象範囲によって必要な知識や技能 は異なるため、一人一人の監査人に全ての知識と技能が要求される訳では なく、システム監査を行う組織が総体として知識や技能を備えることが求 められる。
3. システム監査を取り巻く環境変化を常にキャッチアップし、新しい知識 や技能を習得し続ける努力が求められる。特に、IT システムに係るリスク の変化に対する認識を高めることは重要である。
13
【基準3】システム監査に対するニーズの把握と品質の確保
システム監査の実施に際し、システム監査に対するニーズを十分に把握し た上でシステム監査業務を行い、システム監査の品質が確保されるための体 制を整備・運用しなければならない。 |
<主 旨>
システム監査は、利用者(保証を目的としたシステム監査の場合)又は依頼 者(助言を目的としたシステム監査の場合)のシステム監査に対するニーズを 十分に踏まえたものでなければならない。特に、システム監査は任意監査(法 令等で義務付けられていない監査)であることから、法定監査よりも、この点 を意識する必要がある。
また、システム監査に対するニーズを満たしているかどうかを含め、一定の 監査品質を確保するための体制を整備・運用することが必要である。
<解釈指針>
1. システム監査を実施する場合、システム監査の利用者又は依頼者のニー ズに見合ったシステム監査の目的が決定され、システム監査の対象が選択 される。
(1) システム監査の目的は、以下のようなニーズに基づいて決定される。 ① 経営者が、IT システムのマネジメントが有効に機能していること を確かめたいというニーズをもっている場合、「システム管理基準」 に照らして IT システムのマネジメントの状況を検証・評価し、も って保証を目的としたシステム監査が行われる。
② 経営者が、自組織体のシステム開発管理に重大な不備があるので はないかと不安に思っており、もし不備があればそれを指摘しても らい、改善の具体的な方策を知りたいというニーズをもっている場 合、「システム管理基準」に照らして現状のシステム開発管理の状況 を検証・評価し、指摘とともに改善提案を行う、助言を目的とした システム監査が行われる。
なお、上記②の目的をもったシステム監査を行って成熟度が確認
14
できた時点で、①の目的をもったシステム監査が行われることが通 例である。
③ システム監査のニーズには、他にも以下のようなものがある。 ・システム委託者(委託元)を依頼者とする「委託先の管理レベル によって大きな損害を被る可能性があるため、その管理レベルが 自組織体の望むレベルであるか判断する材料として第三者の評 価が欲しい」というニーズ。
・ システム受託者(委託先)を依頼者とする「システムを受託す るに当たって、委託元が委託先の管理レベルを重視していること から、自社のシステム管理レベルを委託元に判断してもらう材料 として第三者の評価を開示したい」というニーズ。
・重要インフラや多数の生命・財産に対する社会的責任を負う組織 体や行政組織を依頼者とする「不特定多数の利害関係者に向けて、 説明責任を果たすことを担保したい」というニーズ。
(2) システム監査の対象は、以下のようなニーズに基づいて選択される。 ① 経営者が、経営戦略と IT 戦略との整合性、IT システムの利活用 の有効性、企業グループ全体としてみた場合の IT 戦略の合理性に ついての保証又は助言を得たいというニーズをもっている場合、IT
システムのガバナンスを対象とするシステム監査が選択される。 ② 経営者が、情報システムのサービスレベルの維持、より効率的な 情報システムの維持管理、プライバシー規制等への対応状況につい て保証又は助言を得たいというニーズをもっている場合、情報シス
テムのマネジメントを対象とするシステム監査が選択される。 ③ 経営者が、情報システムに実装された機能要件が、業務要件の変 化に対応して適切に維持管理が行われているかどうかについての 保証又は助言を得たいというニーズをもっている場合、情報システ ムのコントロールを対象とするシステム監査が選択される。 なお、上記の①、②及び③は、それぞれ別個の監査対象として明 確に区別されて選択される場合もあれば、特に区別されずに組合せ て選択される場合もある。
15
2. システム監査の品質を維持し、さらにはシステム監査業務の改善を通じ てその品質を高めるために、システム監査を行う組織での自己点検・評価 (内部評価)、及び組織体外部の独立した専門家による点検・評価(外部評 価)を定期的に実施することが望ましい。
内部監査として実施するシステム監査の場合には、一般社団法人日本内 部監査協会の「内部監査基準」や内部監査人協会(IIA)の「専門職的実施 の国際フレームワーク」を参照して品質を高めることにも留意する。 システム監査の品質の維持及び向上に際しては、システム監査に対する ニーズに十分に応えているかどうかという視点を組み込むことが重要であ る。
自らの業務を継続的又は定期的に見直し、その結果をシステム監査業務 の改善に結び付ける努力こそ、システム監査の品質を保ち、向上させるた めの鍵となることに留意すべきである。自らの業務を本監査基準やベスト プラクティス等に照らして見直し、改善のための工夫を凝らす試みは、監 査人の能力向上にもつながる。
3. システム監査終了後、監査の依頼者や利用者から監査人が実施した監査 内容について意見を聴取したり、監査対象先からアンケート調査等によっ て監査人が実施した監査の方法や結果等に関する評価を求めたりすること も、システム監査の品質の維持及び向上にとって有益である。
4. システム監査を外部の専門家に委託して実施する場合にも、委託先にお ける監査の品質管理体制を確かめておくことが必要である。
16
【基準4】監査の独立性と客観性の保持
システム監査は、監査人によって誠実かつ、客観的に行われなければなら ない。 さらに、監査人が監査対象の領域又は活動から、独立かつ客観的な立場で 監査が実施されているという外観にも十分に配慮されなければならない。 |
<主 旨>
システム監査は、客観性、誠実性の保持として、客観的な立場で公正な判断 を行うという精神的な態度を堅持する監査人によって行われなければならない (精神的独立性)。
監査人の精神的独立性は当然であるが、さらにシステム監査は、組織体の内 部監査部門で行われるものであれ、外部の専門事業者によって行われるもので あれ、監査対象先から独立した立場で実施されているという外観が確保される 必要がある(外観的独立性)。
<解釈指針>
1. システム監査の実施に当たり、精神的独立性が堅持できない場合には、 システム監査における客観性、ひいてはシステム監査の品質が維持でき ず、信頼性を著しく毀き損することになることに留意する。
2. 監査人に精神的独立性が欠けるという疑いや印象を与えないために、 システム監査は監査対象先から独立した監査人によって行われる必要が ある。
所属する部門が、監査対象の領域又は活動と同一の指揮命令系統に属 する場合、組織的な独立性が毀き損されているとの外観を呈することに留 意する。
3. システム監査を外部の専門事業者(専門家)に委託する場合、システム 監査を担当する者が、専門家としての能力を有しているか、独立性に問 題がないかを確かめることが求められる。
委託元組織体と身分上の密接な利害関係を有することは、独立性が毀き 損されているとの外観を呈することに留意する(システム監査を外部に 委託する場合の独立性については、【基準1】解釈指針 2.(2)参照のこと)。
17
【基準5】監査の能力及び正当な注意と秘密の保持
システム監査は、専門的能力の維持・向上を図るとともに、監査業務にお いて正当な注意を払って実施する監査人によって行わなければならない。ま た、監査人は秘密の保持をしなければならない。 |
<主 旨>
システム監査は、監査計画策定等の監査業務を行う際、独立性と客観性の保 持と併せて、監査の専門家として要求される正当な注意を払い、秘密の保持の 遵守により監査業務の品質を確保する監査人によって行われなければならない。
<解釈指針>
1. システム監査の実施に当たり、客観的な立場で公正な判断が行われるた めに、専門的な知識・技能を有する監査人によって行わなければならない。 専門的な知識・技能を習得し、維持することは、監査人としての能力をもっ て依頼者に保証・助言を提供するために、適切な判断をすることが求めら れるからである。
また、システム監査は、監査人としての正当な注意を払い、また正当な懐 疑心をもって、標準的な監査人が同様な監査をした場合に見逃すことのな いリスクを的確に識別することが重要である。IT システムの利活用に係る 監査においては常に組織体内外の状況とその変化に目を向けて、組織体の 論理や価値観だけで判断を行うのではなく、社会的な視点からみて公正な 判断を行うことが望まれることを留意する必要がある。特に、IT の進展を はじめ、デジタル技術の変化によるリスク、システム開発手法の変化によ るリスクに注意を払う必要がある。
2. システム監査の実施に当たり、業務上知り得た事項を正当な理由なく他 に開示したり、自らの利益のために利用したりしてはならないことが監査 人に求められる。なお、秘密の保持は、所属する職業団体や会社における倫 理規程、契約、就業規則等によって要求される場合もある。
18
[2]システム監査の実施に係る基準
【基準6】監査計画の策定
システム監査を効果的かつ効率的に実施するために、適切な監査計画が策 定されなければならない。 監査計画は、主としてリスク・アプローチに基づいて策定する。 監査計画は、リスク等の状況の変化に応じて適時適切に見直し、変更さ れなければならない。 |
<主 旨>
1. 監査計画の必要性
監査の網羅性と効率性を整合させ、有効性の高いシステム監査の実施の ためには、その目的達成に必要十分な事項を記載した適切な監査計画を策 定する必要がある。
2. リスク・アプローチ
① 監査計画の適切性を確保するためには、主として監査対象のリスクの 大きさや重要性等に基づいて策定される必要がある。
② 監査計画の適切性を維持するためには、監査対象の変化(リスクや重 要性等の変化)に応じて、適時適切に見直し、変更されることも必要で ある。
<解釈指針>
1. 監査計画の必要性
(1) 監査計画は、監査の網羅性を確保し、かつ監査リスクを合理的に低い 水準に抑えた効果的・効率的な監査を実施するために、監査の基本方針 を策定し、監査の具体的内容(例えば、目的・目標、実施時期、適用範 囲、及び監査の方法等)を決定する。
(2) システム監査の対象となり得る範囲は、原則として組織体及びその集 団における IT システムの利活用に係る経営活動及び業務活動の全てで ある。監査において実際に監査を実施しなければならない可能性のある
19
領域を、監査対象領域( Audit Universe)と呼ぶことがあるが、システ ム監査の対象となり得る範囲は、この監査対象領域の IT システムの利 活用に係る領域である。
監査計画(中長期、年度、個別)策定においては、組織体及び組織体 集団において IT に係る監査対象領域に基づいて具体的な監査範囲を決 定する。その際に組織体にとって受容できないリスク又は重要なリスク が存在する可能性があると合理的に推測できる範囲(組織、業務プロセ ス等)を全てシステム監査の対象範囲に含めなければならず、その決定 の合理性を説明できなければならない。
(3) 監査は、監査目的に基づき、ガバナンス、マネジメント、コントロー ル、及びこれらの統合的視点から検証する必要がある。 ① ガバナンスの視点:IT システムに係るガバナンスを監査対象とす
る場合、取締役会等が IT システムの利活用について経営目的や経 営戦略に沿うように経営者に対して適切な方向付けを行い、指示し、 かつ、経営者の執行状況を監督し、必要な場合には是正措置を適切 に指示しているかどうかを確かめることに重点を置いた監査計画 となる。例えば、IT 戦略は経営戦略と整合しているか、新技術や技 術革新を経営戦略推進のために適時適切に利活用できているか、IT 投資の結果が適切なリターンを生んでいる等を等を監査する計画 が必要となる。また、マネジメントの視点、コントロールの視点で の監査により識別した重大な不備やリスクの根本的発生原因がガ バナンスにあると推察される場合は、その点についても検証する必 要がある。
② マネジメントの視点:IT システムの利活用に係るマネジメントを 監査対象とする場合、経営者による方向付けに基づいて、PDCA サイ クルが確立され、かつ適切に運用されているかどうかを確かめるこ とに重点を置いた監査計画となる。例えば、IT 投資管理や情報セキ ュリティ対策が、PDCA サイクルに基づいて、組織体全体として適切 に管理されているかどうかに関する監査計画が必要となる。なお、 継続的モニタリングの実施により、PDCA サイクルのどこかに機能
20
の不十分な点や重大なリスクが識別された場合には、それらの点に ついて監査を優先的に行うために監査計画を変更することも必要 である。
③ コントロールの視点:IT システムの利活用に係るコントロールを 監査対象とする場合、業務プロセス等において、リスクに応じたコ ントロールが適切に組み込まれ、機能しているかどうかを確かめる ことに重点を置いた監査計画となる。例えば、規程に従った承認手 続が実施されているかどうか、異常なアクセスを検出した際に適時 に対処及び報告がなされているかどうか等に関する具体的な監査 計画が必要となる。なお、ここでいうコントロールには、手作業に よるコントロールと、情報システムに組み込まれた自動化されたコ ントロールの双方が含まれることに留意する。
コントロールが適切に実施されることによって、情報システムの 有効性、効率性、信頼性、安全性(機密性、完全性、可用性)、準拠 性が維持される。
④ 統合的視点:上記①~③の視点に加えて、必要な場合は、組織体の 目的の達成を効果的かつ効率的に支援する IT システムの目的が達 成されるようにガバナンス、マネジメント、コントロールが体系的 に統合されて有効に機能しているかも監査の視点に含めなければ ならない。
2. リスク・アプローチ
(1) システム監査におけるリスク・アプローチとは、IT システムに係 るリスクの大きさに応じて監査の人員や時間を充てることにより、 監査を効果的かつ効率的に行う監査の実施方法である。リスクの大 きさは、脅威と脆弱性が決定要因となるリスク発生可能性とリスク が発生した場合に組織体が受ける影響度の組合せで評価される。 重大なリスクが存在する領域に対して漏れなく監査を行い、かつ その領域に存在する重要な脅威や脆弱性(統制の不備)、リスクを 適切に発見する監査を効果的・効率的を行うためにリスク・アプロ ーチで監査計画(監査スケジュール(時期と期間)、監査資源、予算、
21
監査の方法等)を作成する。
(2) リスク・アプローチの監査を実施する前提となるのは、監査対象 に対する適切なリスクの識別、分析、評価と、監査実施に係る適切 なリスクの識別、分析、評価である。
システム監査に係るリスクには、監査対象に対するリスクと監査 実施に係るリスクがある。
システム監査において、監査対象に対するリスクとは、組織体の 目的達成や戦略遂行において、IT システムの利活用が果たすべき目 標(あるべき姿)と実際(現状)との間で差異が発生する可能性と その影響の大きさである。 監査対象に対するリスクは、固有リス ク、統制リスク、残存リスクに分けられる。
① 固有リスク:関連するコントロールが存在しないとの仮定の 上で、IT システムに係るリスクで、経営戦略と IT 戦略との 不整合、業務プロセス上における情報システムの機能不全、 情報漏洩等により、情報システムの有効性、効率性、信頼性、
安全性、コンプライアンスが維持されないリスクをいう。 ② 統制リスク:IT システムの利活用に係るコントロールの不 備・不足により、固有リスクの顕在化等の望ましくない状況 や状態に対して、発生防止や適時の発見、是正がなされない リスク。
③ 残存リスク:固有リスクに対してコントロールが施された後 も残っているリスク。
また、監査実施に係るリスクとは、組織体に対して重要な影響を 与えるリスクを発見できない等、監査の目的が達成できない可能 性を合理的に低い水準にまで抑えられないリスクをいう。
監査計画策定においては、まず監査対象全般についてのリスク の識別、分析、評価が行われ、そのリスク評価に基づいて、監査範 囲の絞り込みや、監査時間、監査資源、予算、監査の方法等を含ん だ監査計画を策定することになる。したがって、リスク・アプロー チとは、監査の網羅性(監査対象全般に対するリスク評価)と効率
22
性(リスクに応じた監査の実施)を両立させるための方法である。 なお、保証を目的としたシステム監査計画策定における監査対 象先の選定や監査の優先度は、主として残存リスクの評価に基づ き決定されるが、固有リスクや統制リスクについても同時に考慮 される必要がある。また、固有リスクと統制リスクは結合して評価 する方が望ましい場合が多く、両者を区別して評価することにこ だわるとリスク評価が形式的になるおそれがある。
一方、助言を目的としたシステム監査は、システム監査の依頼者 と監査人との合意により監査の内容が決定される。その場合、監査 の内容についての協議は、統制リスク評価に基づいてなされる場 合もあれば、残存リスク評価に基づいてなされる場合もある。
(3) IT ガバナンスに係るリスクは、IT ガバナンス機能が IT システム の利活用に係る、法的要求事項を満たしていないリスクと経営判断 を誤るリスク、監督が不十分なリスク、さらには IT システムの利 活用が組織体の求める目標(経営計画や経営戦略の達成のための IT システムの利活用に係る目標)を十分に達成していないパフォーマ ンスに係るリスクに分けることができる。これらのリスクが顕在化 することのないように、取締役会等は、適切で十分な情報に基づき 判断を行い(判断過程)、かつその判断が著しく不合理でないこと
(判断内容)が求められる。判断過程の適切性と判断内容の合理性 を確保するために、各取締役は相互監視しかつ取締役会等として監 督機能を果たすことにより、これらがガバナンスに係るコントロー ルの役割を果たすこととなる。監査役(会)等は、ガバナンスにお ける監査機能として、取締役会の機能発揮状況、取締役の職務の執 行を監査する。ガバナンスの良し悪しの結果がマネジメント、コン
トロールにおいて具体的事象として出現するので、上記(2)のリス ク評価の結果は、ガバナンスに係る監査計画策定の際にも有用であ る。
(4) 監査計画の見直しについては、組織体内外の環境の変化によりリ スクが相当程度変化した場合に検討し、必要な場合は適時適切に監
23
査計画を変更すべきである。
3. その他
(1) 監査計画の策定に当たっては、リスク評価とともに、必要に応じて リスク評価以外の諸点も考慮する必要がある。
(2) IT システムの利活用に係る助言業務を依頼された場合には、助言 業務提供による組織体への貢献度、保証型監査実施への影響、助言提 供能力等について検討する必要がある。
(3) 監査計画を策定する際には、効果的・効率的にシステム監査を行う ために必要な監査資源が識別される必要があり、適切かつ十分な監 査資源は、システム監査を行う組織の長の責任により確保されなけ ればならない。監査資源管理には他の監査やモニタリングの機能と の連携、IT ツールの活用、専門家やアウトソースの活用も含まれる。 また、監査のテーマや目的によっては、システム監査以外の監査を 担当する業務監査とシステム監査が一体となって監査を行う統合監 査の実施も検討される必要がある。
(4) システム監査を外部に委託する場合には、外部委託する組織の長 の承認を得る必要がある。
24
【基準7】監査計画の種類
監査計画は、原則として中長期計画、年度計画、及び個別監査計画に分けて 策定されなければならない。 |
<主 旨>
システム監査を効果的かつ効率的に行うためには、監査計画を、中長期的な 対応が必要な事項(中長期計画)と、リスク・アプローチに基づき年間におい て監査を実施すべき事項(年度計画)と、年度計画に基づいて実施する個々の 監査のための計画(個別監査計画)に分けて、策定するのが有益である。
<解釈指針>
1. 監査計画は、中長期計画、年度計画、及び個別監査計画に分けて策定され る。
2. 中長期計画とは、システム監査の中長期における方針等を明らかにする ことを目的として作成する。システム監査を経営に貢献するものとするた めに、又は利害関係者に対する説明責任を果たすために、情報システムの 中長期計画と整合を取り、システム開発・更改計画や IT 基盤の構築・更改 等を踏まえて、システム監査の中長期計画を策定する。
3. 年度計画とは、中長期計画に基づいて、システム監査の年間スケジュー ルを内容とするものをいう。基本計画とも呼ばれる。
4. 個別監査計画とは、年度の基本計画に基づいて、個々のシステム監査対 象ごとに、具体的な監査スケジュールまで落とし込んだ詳細計画をいう。 5. 原則として、長期計画、年度計画、及び個別監査計画は全て、リスク・ア プローチにより策定される必要がある。
25
【基準8】監査証拠の入手と評価
適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠 を入手しなければならない。 |
<主 旨>
監査手続の実施結果として監査証拠が入手され、監査証拠に基づいて監査の 結論が形成される。監査手続に基づく監査証拠の入手は、監査の結論を得るた めに必要不可欠なものである。
<解釈指針>
1. 個別監査計画に基づいて、監査手続を実施することによって、監査証拠を 入手する。
2. 監査手続は、予備調査(事前調査ともいう。)と本調査に分けて実施する。 (1) 予備調査とは、監査対象の実態(例えば、情報システムや業務等の 詳細、事務手続・マニュアル等による業務内容や業務分掌、組織図等 による体制など)を把握するプロセスをいう。
(2) 予備調査で必要な情報を入手する方法には、例えば、関連する文書 や資料等の閲覧、監査対象先のみならず、関連部門へのインタビュー 等がある。
(3) 本調査とは、監査の結論を裏付けるために、十分かつ適切な監査証 拠を入手するプロセスをいう。十分かつ適切な監査証拠とは、証拠と しての量的十分性と、確かめるべき事項に適合しかつ証明力を備え た証拠をいう。
(4) 証拠としての十分性及び適切性を確保するためには、単にインタ ビュー等による口頭証拠だけに依存するのではなく、それを裏付け る書類等の書面による証拠を入手したり、現物等と照合、実際の操作 状況を観察したりさらにはテストの実施、詳細な分析等を実施する 必要がある。
3. 監査手続の適用に際しては、チェックリスト法、ドキュメントレビュー 法、インタビュー法、ウォークスルー法、突合・照合法、現地調査法、コン
26
ピュータ支援監査技法等が利用できる。
4. 監査手続は、それぞれ単独で構成される場合もあるが、一般的には、一つ の監査目的に対して複数の監査手続の組合せによって構成される。 5. アジャイル手法を用いたシステム開発プロジェクト等、ドキュメントの 作成に重きが置かれない開発手法が採用されている場合には、ウォータフ ォール等の従来型開発手法とは作成されるドキュメントの種類やドキュメ ントの作成タイミングが異なることを十分理解し、開発手法に応じた監査 証拠を入手する。
6. また、必要となる監査証拠を適時に入手するために開発の関係者間の意 思疎通を図る情報共有、コミュニケーションの仕組み、ルールが整備され、 適切にルールが運用されているかを確かめることが重要である。
27
【基準9】監査調書の作成と保管
監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠 とするために、監査調書を作成し、適切に保管しなければならない。 |
<主 旨>
監査調書とは、実施した監査手続、入手した監査証跡及び監査人が到達した 結論の記録をいい、かつ、監査の結論の基礎となるものであることから、秩序 ある形式で作成し、適切に保管しておく必要がある。
<解釈指針>
1. 監査実施内容の適切性・再現性等を確保するために、監査調書を作成す る。
2. 監査調書の記載事項には、一般的に、以下の事項が含まれる。ただし、こ れらに限定されない。
· 監査実施者及び実施日時
· 監査の目的
· 監査手続
· 監査証拠(監査結果を立証するための資料、データ、証言、監査証跡を 含む記録等の全て)
· 監査手続に基づき確かめた結果
· 発見事実(事態・事象、真因、影響等)及び発見事実に対する所見 · 監査調書のレビューが行われた場合には、レビューアの氏名及びレビュ ー実施日
3. 監査調書に記載されたシステム監査人の所見は、監査結果の結論をまと めるための合理的根拠となる。
4. 別途定められた手続に従って監査調書を体系的に整理し、後日、容易に 参照、活用できるように保管する必要がある。
5. 監査調書には、組織体の重要情報や機密情報が記載されていることか ら、受渡や持出等のルールを定めるとともに、未承認アクセスに対する防 止対策、及びバックアップ対策を講じる。
28
【基準10】監査の結論の形成
監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基 づき、監査の結論を導かなければならない。 |
<主 旨>
監査報告に先立って、監査調書に基づいて監査の結論を導く必要がある。保 証目的、助言目的に関わらず合理的な根拠に基づき監査の結論を導かなければ ならない。
<解釈指針>
1. 監査の結論を導くための合理的な根拠を得るまで監査手続を実施するこ とで、十分かつ適切な監査証拠を入手する必要がある。
2. 監査の結論は、監査調書に基づいて論理的に導く必要がある。 3. 監査の結果、IT システムのガバナンス、マネジメント、又はコントロー ルに不備・不足があることが明らかになった場合には、それによる発現可 能性のあるリスクの具体的な内容と影響から、残存リスクの大きさを評価 し、指摘事項として改善を求めるべきか否かを判断する必要がある。なお、 キーコントロールが明らかに不十分な場合には、原則指摘事項として改善 を求める必要がある。監査で発見された不備・不足の全てを指摘事項とす る必要はない。また、指摘事項については、残存リスクの大きさに基づき指 摘事項の優先順位付けを行う必要がある。
4. 監査対象先との間で事実確認を行う必要がある。事実確認の結果、指摘 事項とすべきと判断した場合には、監査調書に記録された所見、当該事実 を裏付ける監査証拠等に基づき、意見交換会や監査講評会を通じて監査対 象先に事実認識に相違ないかについて、最終確認を行う必要がある。
29
[3]システム監査の報告に係る基準
【基準11】監査報告書の作成と報告
監査報告書は、監査の目的に応じた適切な形式で作成され、監査の依頼者 や適切な関係者に報告されなければならない。 |
<主 旨>
作成された監査報告書は、監査の依頼者である取締役会等及び経営者等や監 査対象先等を含む適切な関係者に報告される必要があるが、監査の目的、範囲 や結果等の報告すべき内容を理解しやすい方法で報告することが重要である。 結果には結論並びに必要な場合改善のための提案及び監査対象先による改善計 画、又はそのいずれかを含む。
<解釈指針>
1. システム監査報告書の作成に際しては、正確性、客観性、簡潔性、明瞭 性、理解容易性、適時性に留意する。また、図(アプリケーションシステム の関係図、処理プロセス図等)、表、グラフ、イラスト、写真等を利用する ことも効果的である。
さらに、表現が敵対的になることを避け、建設的なものとすることを心 掛ける必要がある。監査報告書の作成に当たっては、監査対象先や関連部 門への結果の説明、問題点の相互確認を行う等、事実認識の共有を十分に 図る必要がある。
2. システム監査がIT ガバナンスに関連する場合、取締役会等及び経営者、 監査役会等に対する報告と併せて、組織体のガバナンス機能に関わる機関 にも監査報告書を提出することが必要である。
3. 監査対象先に対しては、監査報告書の写しを回付する。また、監査対象部 門以外にも必要に応じ回付する。
4. 保証を目的とするシステム監査報告書には、監査の目的、範囲及び結果 が記載される必要がある。詳細な記載事項やその記載方法は、一様ではな いが、以下に例示するような記載を行うことが望ましい。 (1) 監査の概要
30
以下に例示する事項を簡潔明瞭に記載する。
· 監査の目的(ニーズ、根拠、背景等でもよい。)
· 監査の対象範囲(その選定根拠等を含むことが望ましい。) · 監査の実施期間
· 監査の実施者
· (必要に応じて)採用した監査手続の概要
(2) 監査の結果
· 結論
· 指摘事項
· 改善提案及び改善計画(監査報告に際し監査対象先が作成した 場合)、又はそのいずれか
· (必要に応じて)総合意見
5. 助言を目的とするシステム監査報告書の様式や記載内容等は、システム 監査の依頼者と監査人との間で同意した依頼内容に適したものとする必要 がある。
31
【基準12】改善提案(及び改善計画)のフォローアップ
監査報告書に改善提案が記載されている場合、適切な措置が、適時に講じ られているかどうかを確認するために、改善計画及びその実施状況に関する 情報を収集し、改善状況をモニタリングしなければならない。監査報告書に 改善計画が記載されている場合も同様にその実施状況をモニタリングしな ければならない。 |
<主 旨>
システム監査は、監査報告書の作成と報告をもって終了するが、監査報告書 に改善提案及び監査対象先が作成した改善計画、又はそのいずれかを記載した 場合には、当該改善事項が適切かつ適時に実施されているかどうかを確かめて おく必要がある。なお、監査人は、改善の実施そのものに責任を負うことはな く、改善の実施が適切であるかどうかをフォローアップし、取締役会等及び経 営者等に報告することになる点に留意する。
<解釈指針>
1. 監査人は、監査報告書に記載した改善提案への対応状況について監査 対象先又は改善責任部門等から、一定期間以内に、具体的な改善内容と 方法、実施体制と責任者、進捗状況又は今後のスケジュール等を記載し た改善計画書を受領し、適宜、改善実施状況報告書等によって改善状況 をモニタリングする必要がある。監査報告書に監査対象先の作成した改 善計画を記載する場合も、同様に改善状況をモニタリングする。
2. フォローアップは、監査対象先の責任において実施される改善を監査 人が事後的に確認するという性質のものであり、監査人による改善計画 の策定及びその実行への関与は、独立性と客観性を損なうことに留意す べきである。
3. 監査対象先から提出された改善実施状況報告書により、改善内容の妥 当性、改善体制、改善の進捗状況等を確認し、監査人の改善提案の基と なった指摘事項の重大性等を総合的に勘案して、追加的な検証が必要か どうか、あるいは次回以降の監査に反映すべき点がないかどうかを検討
32
することが望ましい。
4. 監査対象先又は改善責任部門が実施した改善策が不十分であるか、又 は改善提案に基づく問題解決がなされないまま放置されている場合は、 当該部門に対して、再度の改善対応を要請する必要がある。さらに、改 善が適切かつ適時に行われない場合のリスクを明確にして、取締役会等 及び経営者等に報告することが必要な場合もある。
5. フォローアップの終了後、フォローアップ報告書を作成し、監査対象 先又は改善責任部門に回付する必要がある。また、重要度に応じ経営者、 取締役会等にも報告する。
33
システム監査基準・システム管理基準の共通用語集(分類別)
分類 | 用語 | 定義 |
ガバナンス とマネジメ ント関係 | ガバナンス | ガバナンスは、次のことによって組織体の目標 の達成を保証する仕組みである。 ① ステークホルダーを特定し、協議し、そのニ ーズを明確にして対応すること(ステークホ ルダーへの対応:Engage Stakeholders) ② 現在と将来のあるべき姿を比較分析し、期待 する効果と必要な資源、想定されるリスク等 を評価し、判断すること(評価:Evaluate) ③ IT 戦略と方針を実現するために必要な責任 と資源等を組織体内へ割り当て、期待する効 果( IT パフォーマンスの期待値を含む)を示 し、その実現と想定されるリスクへの対処を 経営者に指示すること(指示:Direct) ④ 戦略で設定した目標をどの程度満たしてい るか、方針を遵守しているか、パフォーマン スをどの程度達成しているか、また想定した リスクの発現状況及び対処状況について、適 切な仕組みを通じて、パフォーマンスの情報 を収集し、確認すること(モニタ:Monitor) ガバナンスは、リスク・マネジメントやコント ロールの基となる機能である。ほとんどの組織 体において、取締役会等の統治機関がガバナン ス全体の責任を負う。統治機関には、上記の活 動の実行責任と、適切に遂行していることを示 す説明責任の両方を果すことが求められる。 |
34
マネジメン ト | ガバナンスによって設定された方向に、組織体 の目標を達成させるために、戦略やリスク管理 を計画(Plan)し、体制等を構築(Build)し、 業務を運営(Run)し、そしてその運営状況や目 標達成状況等をモニタリング( Monitor)する活 動である (PBRM)。 | |
リスク・マ ネジメント | ガバナンスから示された組織体の目的・目標達 成に関し、合理的な保証を提供するために、発生 する可能性のある事象や状況(機会、リスク)を 識別、評価し、コントロールするプロセスを指 す。 | |
コントロー ル | リスク・マネジメントのために取られる全ての 管理手段。組織的、人的、技術的、物理的な手段 がある。統制ともいわれる。 | |
IT ガバナン スと IT マネ ジメント関 係 | IT(情報技 術) | 元来はコンピュータを使用して、あらゆる種類 の電磁的データや情報を収集、処理、加工、保 存、発信、変換する技術のことである。ただし、 デジタル技術やセンサー等による情報収集技術 等、より幅広いテクノロジーも含めて、「IT」と いう用語を用いている。 |
情報システ ム | IT を駆使して業務の流れ(ビジネス・プロセス) の有効性、効率性を高めるための仕組みや、ハー ドウエア、ソフトウェア、ネットワーク等を指 す。 | |
データ・情 報 | 一般的な情報(information)、情報システムに入 力された情報であるデータ、そのデータの分析 や加工等から見出された組織体やその構成員に とって意味のある情報( intelligence)を指す。 | |
IT システム | IT、情報システム、データ・情報をまとめた概 |
35
念を指す。 | ||
IT システム の利活用 | IT と情報システムの利活用、情報・データの利 活用をまとめた概念であり、組織体の目的や目 標の達成のために、IT システムを用いることを いう。IT システムの利活用には、IT システムの 利活用を企画、計画するプロセスと、その企画、 計画に基づいて、電磁的データや情報を収集、処 理、加工、保存、発信、変換するために IT シス テムを用いるプロセスがある。したがって、組織 体内部における IT の計画、調達、外部委託、設 計、統合、検証、移行、運用、保守及び廃棄のプ ロセスの他、外部 IT サービスの調達及び利活用 のプロセスが含まれる。 | |
IT ガバナン ス | 組織体のガバナンスの構成要素で、取締役会等 がステークホルダーのニーズに基づいて、組織 体の価値及び組織体への信頼を向上させるため の IT システムの利活用に係る機能である。具体 的な機能は、組織体における IT システムの利活 用のあるべき姿を示す IT 戦略と方針の策定、経 営者へのその実施指示、及び経営者への実施状 況に係る監視、監督である。ほとんどの組織体に おいて、取締役会等の統治機関がガバナンス全 体の責任を負う。統治機関には、上記の実行責任 と、適切に遂行していることを示す説明責任の 両方を果たすことが求められる。 | |
IT マネジメ ント | 経営方針及び ITガバナンス方針に基づいて策定 した IT 戦略の各目標を達成するために、具体策 を計画(Plan)し、体制等を構築(Build)し、 業務を運営(Run)し、そしてその運営状況や目 |
36
標達成状況等をモニタリング( Monitor)する活 動である (PBRM)。 | ||
IT システム に係るリス ク | IT システム自体に対するリスクだけでなく、IT システムに係る戦略や投資、使用する技術、IT システムを用いるビジネス・プロセス、IT シス テムを管理し使用する組織や人員、そのための 方針や規程類、情報システムを配置し、格納する 設備や施設、取り扱う情報やデータ等の IT シス テムに関連するあらゆるリスクを意味してい る。その観点から、IT システムに係るリスクと、 「係る」という用語を用いている。 | |
組織関係 | 組織体 | 一定の共通目標をもつ人々の集合体。会社のよ うな営利活動を行うための経済的組織体と、非 営利法人や行政組織のような非経済的組織体と がある。 |
ステークホ ルダー | 組織体の活動により直接的又は間接的に影響を 及ぼす利害関係者のことを指す。一般には、株 主、投資家、従業員、顧客、取引先、地域社会、 行政機関等、組織体を取り巻く、外部の様々な組 織、団体、個人などがあげられる。 | |
取締役会等 | 会社の取締役会、非営利法人の理事会等の監督 機関を指す。 | |
監査役 (会)等 | 指名委員会等設置会社の監査委員会及び監査委 員、監査等委員会設置会社の監査等委員会及び 監査等委員、監査役設置会社の監査役会及び監 査役、並びに非営利法人の監事会及び監事、等を 指す。 | |
経営者 | 業務執行に責任を有する 1 名以上の者を指し、 最高経営者だけでなく、業務執行を担う取締役、 |
37
執行役、執行役員等も含む。役割に応じて、CEO、 COO、CIO、CISO 等と呼ばれることもある。 | ||
業務分掌 | 会社等の組織体において、各々の部署やチーム 等の業務の目的、範囲、内容、権限、責任を明確 化したものをいう。 |
38
システム監査基準の用語集(五十音順)
用語 | 説明 |
CAAT (コンピュータ支援監査 技法) | 大量のデータの検索、抽出、計算等を、監査 支援専用ソフトウェア等の自動化された監 査ツールを使って行い、監査の一部又は全部 を効果的・効率的に実施する技法を指す。 |
外観的独立性 | 監査対象先から独立した立場で実施されて いるという外観が確保されており、第三者か らみて監査人の精神的独立性が堅持されて いないと判断される状況にはないことをい う(「独立性」を参照のこと)。 |
監査計画 | 監査計画は、効果的・効率的な監査を実施す るために、監査の基本方針を策定し、監査の 具体的内容(例えば、目的・目標、実施時期、 適用範囲、及び監査の方法等)を決定したも のを指す。原則として、中長期計画、年度計 画、個別監査計画に大別される。 |
監査講評会 | 当該監査を担当した監査人及び監査対象部 署等の責任者をはじめとする関係者が集ま り、監査の結果に基づく事実関係や発見事項 を確認し、指摘事項・改善提案について共通 の認識をもつためのミーティングを指す。 |
監査対象先 | 監査対象となる組織体、業務、機能、プロセ ス、情報システム等を指す。 |
監査人 | システム監査を行う者をいう。監査チームと してシステム監査を行う場合に、当該集団を 指すこともある。監査人は監査の対象となる 組織体に所属している場合、組織体外部であ |
39
る場合がある。 | |
監査の依頼者 | 内部監査部門や外部監査提供者に監査を依 頼する者を指し、助言を目的とした監査にお いては、取締役会や社長等の経営者、及び業 務執行部門等が監査の依頼者となる。 |
監査の利用者 | 監査結果を利用する者を指し、保証を目的と した監査においては、取締役会や社長等の経 営者等が監査の利用者となる。例えば、株式 会社における監査役(会)等の監査において は、株主が第一次の利用者になる。 |
監査の結論 | 監査人が発見した客観的証拠を基に、監査目 的及び業務の運用状況を加味した上で下す 監査の結果を指す。 |
監査報告書 | 監査結果を適切な関係者に伝えるための文 書を指す。その形態や形式等は様々で、取締 役会や経営者へは監査報告書を提出し、その 他の関係者へは監査報告書の写しを回付す る場合や、監査対象部門等へ交付する文書を 監査結果通知と呼ぶ場合もある。 |
客観性 | 監査業務において、バイアス(先入観等)、 利益相反を排し、個人や組織等から不当な影 響を受けることなく、監査人としての判断を 行うことをいう。 |
契約書等の文書 | 契約内容を記した文書を指し、契約書だけで なく、覚書等も含む。 |
再現性 | 他の標準的な監査人が監査を実施した場合 であっても同じ検証結果を得られることを いう。 |
システム監査を行う組織 | システム監査を行う監査人が所属する組織 |
40
(部門、部署等)を指す。 | |
システム監査を行う組織 の長 | システム監査を行う組織のマネジメントを 行う職責を負う者を指す。 |
所見 | 監査で発見したこと、又は発見したことに基 づく考えや意見を指す。 |
助言を目的としたシステ ム監査 | 助言を目的としたシステム監査は、助言に加 えて提案や相談を提供する活動。一般に、依 頼者からの具体的な要請に基づいて実施さ れる。個々の助言業務の内容と範囲は、依頼 者との合意による。 |
精神的独立性 | 誠実に行動し、客観性を保持という精神的な 態度を堅持できることをいう(「独立性」を 参照のこと)。 |
正当な懐疑心 | 何事をも当然のこととせず、疑ってみる、又 は確認してみる心をいう。 |
正当な注意 | 監査の実施過程で監査人として当然払うべ き注意をいう。 |
専門家 | 特定の分野における専門的な知識、技能、経 験を有する者又は組織体を指す。システム監 査技術者、経済産業省のシステム監査制度に おいてシステム監査企業台帳に登録された 企業、公認会計士、監査法人、公認内部監査 人( CIA)、公認システム監査人( CSA)、公認 情報システム監査人(CISA)、コンサルタン ト等が含まれる。 |
適切な関係者 | 監査結果を活用し得る立場にある組織、監査 対象先はもとより、監査役やガバナンスに関 連する部署等も含まれる。 |
独立した第三者 | 組織体の外部にあり、組織体とシステム監査 |
41
に関する利害を共にしない者又は組織を指 す。 | |
独立性 | 独立性は、第三者から不当な影響や圧力等を 受けていない状態を指し、精神的独立性と外 観的独立性から構成される。 |
ニーズ | システム監査の利用者(保証を目的とした監 査業務の場合)又は依頼者(助言を目的とし た監査業務の場合)による、システム監査に 対する要求するあるいは期待する事項、事柄 を指す。 |
文書化された規程等 | 組織体内部の規程類や、外部委託に際しての 契約書等の文書等を指す。 |
保証を目的としたシステ ム監査 | 保証を目的としたシステム監査は、IT シス テムに係わるガバナンス、マネジメント、コ ントロールの状況について、監査人が入手し た証拠を客観的に評価することにより、監査 の結論や意見を提供する活動。保証を目的と したシステム監査の内容と範囲は、監査人が 決定する。 |
リスク・アプローチ | 監査実施の優先度(監査対象の選定、監査時 間や監査資源の配分等)を監査対象先のリス クの大きさに基づいて決定する監査実施の 方法を指す。リスク・ベース監査、等ともい われる。 |
42