採点されません。匿名です。 間違えることは学習の一部です。読むだけでもかまいません。

システム監査と内部統制(監査業務・監査プロセス・ITガバナンス)

マネジメント系 / サービスマネジメント

この単元の範囲

基本情報技術者試験のシラバスは、大分類6「サービスマネジメント」の最後に中分類16「システム監査」を置いている。ここまでのサービスマネジメント分野が「システムを安定的に運用する仕組み」を扱ってきたのに対し、システム監査は「その仕組みが本当に機能しているかを第三者の視点でチェックする」活動を扱う点が特徴である。中分類16は小分類「1. システム監査」(監査そのものの目的・手順・体制)と小分類「2. 内部統制」(監査される側である組織の統制の仕組み)の2つから構成される。なお中分類16の直後(p.79〜)からはストラテジ系の大分類7「システム戦略」が始まるため、システム監査はテクノロジ系・マネジメント系全体の締めくくりに位置する単元でもある。

1. システム監査

1-1 監査業務の全体像

監査と一口に言っても種類は多様である。財務諸表の正しさを確認する会計監査、業務の遂行状況を確認する業務監査、情報システムを対象とするシステム監査、情報セキュリティ対策の状況を確認する情報セキュリティ監査が代表例である。また、法律で実施が義務づけられている法定監査(上場企業の会計監査など)と、企業が自主的に行う任意監査の区別、監査を行う主体が組織の内部の人間か外部の第三者かによる内部監査外部監査の区別も重要な整理軸になる。例えば、自社の情報システム部門とは独立した社内監査室がシステムの運用状況を点検すれば内部監査、監査法人やコンサルティング会社が外部から点検すれば外部監査である。

1-2 システム監査の目的

システム監査を行う人(システム監査人)には、監査対象から独立した立場で公正に評価を行う責務がある。シラバスではシステム監査人の権限と責任監査人の倫理誠実性専門的能力の保持と向上正当な注意と秘密の保持システム監査に対するニーズの把握と品質の確保監査の独立性と客観性の保持情報システムの利活用に係る検証・評価が用語例として挙げられている。要するに「監査対象部門にお伺いを立てず、専門知識を持って、公正・誠実に評価する」ことが監査人に求められる基本姿勢である。

1-3 システム監査の流れとリスクアプローチ

システム監査は思いつきで実施するものではなく、一定の流れに沿って進める。まず、システムに潜むリスクの大きさを評価し、リスクの高い領域に監査資源を重点配分するリスクアプローチに基づいて監査計画を立てる。次に、評価の裏付けとなる監査証拠を入手・評価し、その過程を監査調書として記録・保管する。これらを基に監査の結論を形成し、監査報告書を作成して報告する。監査は報告して終わりではなく、指摘した問題が実際に改善されたかを追跡する改善提案のフォローアップまで含めて一連のサイクルとなる。

1-4 システム監査の対象業務と計画の策定

監査の対象を検討する際は、業務やシステムに内在するリスク(望ましくない事態が起きる可能性)と、それを抑える仕組みであるコントロール(統制活動)の対応関係を把握することが出発点になる。組織内でシステム監査をどのように実施するかを定めた内部監査規程、外部の監査人に監査を委託する際に取り交わすシステム監査委託契約書も対象業務整理の関連用語である。これらを踏まえて、いつ・何を・どの範囲で監査するかをまとめたシステム監査計画を策定する。

1-5 システム監査の実施(予備調査・本調査・評価・結論)

実施フェーズは、対象システムの概要や資料を事前に把握する予備調査と、実際に現場で証拠を集める本調査に分かれる。本調査では、あらかじめ定めた監査手続を適用し、監査証拠の入手と評価を行いながら、その根拠を監査調書として作成・保管する。現場確認・資料閲覧・担当者への聞き取りなどを組み合わせる代表的なシステム監査技法を用いて、最終的に「統制は有効に機能しているか」という評価結論を導く。

1-6 システム監査の報告とフォローアップ

調査結果はシステム監査報告書としてまとめ、問題点があれば指摘事項として明記する。システム監査には大きく2つの目的があり、「統制が有効に機能していることを保証する」保証を目的としたシステム監査と、「より良くするための改善点を助言する」助言を目的としたシステム監査に分けられる。指摘事項に対しては監査対象部門が改善提案を受けて改善計画を立て、その実施状況を監査人が後から確認するフォローアップを行い、必要に応じてフォローアップ報告書にまとめる。監査は「報告して終わり」ではなく、改善が実行に移されたかまで確認して初めて一巡する点を押さえておきたい。

1-7 システム監査の体制整備

監査が実効性を持つためには、監査対象の業務から独立した監査部門・監査人を置く体制づくりが欠かせない。監査人が監査対象部門の指揮命令下にあると、都合の悪い事実を指摘しにくくなってしまうためである。この項目はシラバス上では他項目のような個別の用語例が列挙されておらず、独立性を担保する組織体制の考え方そのものが学習内容となる。

1-8 その他のシステム関連の監査

システム監査以外にも、目的に応じたさまざまな監査がある。個人情報の取り扱いを点検する個人情報保護監査、法令・社内規程の遵守状況を点検するコンプライアンス監査などである。これらの拠り所となる基準・規格として、情報セキュリティ監査基準、対策の実施状況を測る情報セキュリティ管理基準、クラウドサービス向けのクラウド情報セキュリティ管理基準、個人情報保護マネジメントシステムの規格であるJIS Q 15001とその認証制度であるプライバシーマーク制度、マネジメントシステム監査全般の指針であるJIS Q 19011が挙げられる。また、監査の背景にある関連法規として著作権法不正競争防止法労働基準法も用語例に含まれる。ソフトウェアの不正コピーがないかを点検する監査は著作権法、営業秘密の管理状況を点検する監査は不正競争防止法と、それぞれ関連法規が異なる点をイメージすると覚えやすい。

1-9 システム監査基準・システム管理基準

システム監査を行う際のよりどころとなる公的な基準がシステム監査基準(監査人がどう行動すべきかの基準)とシステム管理基準(監査される側の情報システムがどうあるべきかの基準)である。いずれも経済産業省が策定したものであり、監査人の倫理システム監査上の判断尺度監査の独立性と客観性の保持正当な注意と秘密の保持といった用語例が対応する。1-2で述べたシステム監査人の心構えは、この基準に根拠を持つ内容であると理解しておくとよい。

2. 内部統制

2-1 内部統制

内部統制とは、企業が経営目標を達成するために、業務プロセスを整え、不正やミスを未然に防ぐ仕組みである。ただしどれほど精緻に設計しても不正の共謀などを完全には防げないという内部統制の限界がある。上場企業には財務報告の信頼性を確保するための内部統制報告制度(いわゆるJ-SOX)への対応が求められる。ITとの関係では、内部統制を支える基盤としてのIT環境への対応、業務にITをどう利用するかというITの利用、システム開発・運用全体に関わるITに係る全般統制、個々の業務処理に組み込まれたITに係る業務処理統制という整理があり、ITが内部統制に果たす役割は年々大きくなっている。統制の実務面では、担当者が何をすべきか手順を明確にする業務プロセスの明確化、1人の担当者に権限が集中しないよう業務を分担する職務分掌実施ルールの設定、実施結果を確認するチェック体制の確立が基本となる。これらを支える価値観としてコンプライアンス(法令・規範の遵守)があり、内部統制の代表的な理論的枠組みとしてCOSOフレームワーク(Committee of Sponsoring Organizations of the Treadway Commission)が用いられる。

2-2 ITガバナンス

内部統制がどちらかというと現場レベルの統制であるのに対し、ITガバナンスは経営層がIT投資・IT戦略を適切に統制する、より上位の枠組みを指す。国際規格ISO/IEC 38500を基に策定された日本産業規格であるJIS Q 38500が代表的な拠り所であり、IT戦略の意思決定を担うCIO(Chief Information Officer:最高情報責任者)、情報セキュリティの意思決定を担うCISO(Chief Information Security Officer:最高情報セキュリティ責任者)という役職名が用語例に挙げられている。個々の業務・システムレベルの統制であるIT統制、企業統治全般を指すコーポレートガバナンスとの位置づけの違い(コーポレートガバナンス ⊃ ITガバナンス ⊃ IT統制、という包含関係でイメージすると整理しやすい)も押さえておきたい。

2-3 法令遵守状況の評価・改善

内部統制・ITガバナンスが遵守すべき代表的な法律として、株式会社の機関設計や取締役の責任などを定める会社法、金融商品取引の公正性を確保する金融商品取引法(内部統制報告制度の根拠法でもある)が挙げられる。また、組織自身が自らの統制状況を自己点検する手法としてCSA(Control Self Assessment:統制自己評価)があり、外部監査に頼るだけでなく組織内部でPDCAを回す仕組みとして位置づけられている。

---

システム監査と内部統制は、「監査する側(システム監査人)」と「監査される側(組織の内部統制・ITガバナンス)」という表裏の関係にある。基本情報技術者試験では、両者の用語をそれぞれ独立に覚えるのではなく、「内部統制・ITガバナンスが整っているかどうかを、独立した立場のシステム監査人が、リスクアプローチに基づいて計画・実施・報告・フォローアップする」という一連の流れの中で対応づけて理解すると定着しやすい。

本資料は IPA(独立行政法人 情報処理推進機構)が公表する「基本情報技術者試験シラバス Ver.9.2」(大分類6「サービスマネジメント」中分類16「システム監査」、p.76-78)に基づく自作の解説テキストである。

  • シラバス本文の用語例・分類構成を参照しつつ、解説文・具体例は本資料著者(nomuraya-dojo)の独自作成である
  • 末尾の「オリジナル演習問題」は IPA 過去問を模倣・転記せず、本資料著者が独自に作成したものである
  • シラバスそのものの著作権は IPA に帰属する。原文は IPA公式シラバスPDF を参照すること
  • 本資料の利用にあたっては、IPAの著作権・利用規約に従うこと

考えてみよう

既定では正解・不正解の判定はしません。自分のペースで「答えを見る」を。採点してほしい場合だけ「採点してほしい」を押してください。

問1

システム監査の目的に関する記述のうち、「情報システムに係る内部統制が有効に機能していることを利害関係者に対して表明する」ことを主目的とする監査の分類はどれか。

ア 助言を目的としたシステム監査

イ 保証を目的としたシステム監査

ウ 法定監査を目的としない任意監査

エ 個人情報保護監査

解答:イ

解説: システム監査には大きく「保証を目的としたシステム監査」と「助言を目的としたシステム監査」の2種類がある。前者は統制が有効に機能していることを利害関係者に対して保証(表明)することを目的とし、後者は改善に向けた助言・提言を主目的とする。ウ・エはいずれも監査の目的による分類軸とは異なる区分である。

問2

システム監査計画を策定する際、監査対象のすべての業務を均等な深さで調べるのではなく、リスクの大きい領域に優先的に監査資源を配分する考え方を何と呼ぶか。

ア リスクアプローチ

イ ウォータフォールアプローチ

ウ CSA(統制自己評価)

エ フォローアップ

解答:ア

解説: リスクの評価に基づいて監査計画を策定する考え方をリスクアプローチと呼ぶ。限られた監査資源を、影響の大きいリスクや発生可能性の高いリスクに重点配分することで、監査の実効性を高める。ウのCSAは組織自身による自己評価の手法であり、外部・内部の監査人が行うリスクアプローチとは主体が異なる。エのフォローアップは監査完了後の改善状況確認を指す。

問3

内部統制における「ITに係る全般統制」と「ITに係る業務処理統制」の違いを説明した記述として最も適切なものはどれか。

ア 全般統制はシステム開発・運用管理など情報システム全体に関わる統制であり、業務処理統制は個々の業務処理(入力・処理・出力など)に組み込まれた統制である

イ 全般統制は経営者のみが対象であり、業務処理統制は従業員のみが対象である

ウ 全般統制は会計監査でのみ用いられる概念であり、業務処理統制はシステム監査でのみ用いられる概念である

エ 全般統制と業務処理統制はどちらも同じ対象を指す同義語である

解答:ア

解説: IT全般統制は、システムの開発・変更管理、アクセス管理、運用管理など情報システム全体の信頼性を支える基盤的な統制を指す。これに対しIT業務処理統制は、個々の業務(例えば売上計上や在庫管理の処理)に組み込まれた、入力チェックや承認機能などの統制を指す。全般統制が土台として機能して初めて、個々の業務処理統制も有効に働く関係にある。

問4

システム監査基準・システム管理基準について、その策定主体として正しいものはどれか。

ア IPA(情報処理推進機構)

イ 経済産業省

ウ 内閣府

エ 日本産業標準調査会(JISC)

解答:イ

解説: システム監査基準(監査人が従うべき行動規範)およびシステム管理基準(情報システムのあるべき管理体制)は、いずれも経済産業省が策定したものである。IPAはシラバスなど試験制度の運営主体であり、両基準の策定主体ではない点を混同しないよう注意する。

問5

ITガバナンスとコーポレートガバナンス、IT統制の関係を説明した記述として最も適切なものはどれか。

ア IT統制、ITガバナンス、コーポレートガバナンスは、いずれも全く独立した別分野であり、包含関係はない

イ コーポレートガバナンスは、ITガバナンスを含む企業統治全体の枠組みであり、ITガバナンスは個々の業務・システムレベルのIT統制を包含する、経営層によるIT戦略の統制の枠組みである

ウ IT統制はコーポレートガバナンスの上位概念であり、ITガバナンスはIT統制の一部にすぎない

エ CIOはコーポレートガバナンスの実施主体であり、ITガバナンスとは無関係な役職である

解答:イ

解説: コーポレートガバナンス(企業統治全体)の中にITガバナンス(経営層によるIT投資・IT戦略の統制)が位置づけられ、さらにその実行レベルとして個々の業務・システムのIT統制がある、という包含関係で整理するとわかりやすい。CIO(最高情報責任者)はITガバナンスにおけるIT戦略の意思決定を担う役職として用語例に挙げられている。

力試ししたい方は クイズ形式の演習(任意) もあります。読むだけでも十分です。