ITとか鳥とか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

情報処理技術者試験 システム監査技術者 要点まとめ-その1

はじめに

システム監査技術者の試験対策のための要点を整理する。 項目はシラバス(Ver5.0、2019年11月時点)をベースに整理する。

試験時の解答ポイントには”✅”を付す。

つづき

その2 その3(作成中) その4(作成中)

用語メモ

誤謬(ごびゅう)

考えや知識のあやまり。 論証が何らかの不備により妥当でないこと。

摘示(てきし)

要点をかいつまんで示すこと。 あばくこと。

0.システム監査の概要

監査とは

組織体が、その経営目標を効果的に達成し、かつ存続するためには、ガバナンス・プロセス、リスク・マネジメントおよびコントロールを確立し、選択した方針に沿って、これらを効率的に推進し、組織体に所属する人々の規律保持と士気の高揚を促すとともに、社会的な信頼性を確保することが望まれる。 内部監査は、ガバナンス・プロセス、リスク・マネジメントおよびコントロールの妥当性と有効性とを評価し、改善に貢献する。 経営環境の変化に迅速に適応するように、必要に応じて、組織体の発展にとって最も有効な改善策を助言・勧告するとともに、その実現を支援する

システム監査の意義と目的

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。 また、システム監査は、情報システムにまつわるリスク(以下「情報システムリスク」という。)に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。

システム監査人の要件

1.独立性

  • 外観上の独立性 組織面で独立していること。
    ✅ 組織やプロジェクトの体制、部門間の関係性などから見ることができるものであればこちら。

  • 精神上の独立性 監査意見が特定の人や組織の意向に左右されないこと。
    ✅ 外観上の独立性に問題がない場合は、こちらを疑う。

2.適格性

  • 公正不偏な態度
  • 正当な注意義務、守秘義務
  • 監査に関する知識や能力

システム監査基準解説書より、「システム監査人が専門職として保持することが望まれる知識及び技能」。

  1. 監査の基礎的理論に対する知識
  2. 監査目的にあった監査手続を監査対象に適用し、必要となる監査証拠を入手する技能
  3. 実施した監査手続を監査調書としてまとめ上げる技能
  4. 監査証拠から監査意見を形成する技能
  5. 監査意見を監査報告書にまとめ上げる技能
  6. 監査計画を策定し、監査業務を管理する技能
  7. ITに関する知識
  8. 内部統制に関する知識
  9. その他、組織運営に関する一般的な知識

3.実務経験

  • システム監査を行うためには、ある程度の実務経験が必要。
  • 実務経験を積むためには、先輩のシステム監査人につくことになる。

監査の型

保証型監査

  • コントロール機能している企業に対して行う。
  • コントロール適切(または不適切)であることを、監査意見として表明する。

助言型監査

  • コントロールレベルが低い企業に対して行う。
  • コントロールの改善を目的とする。
  • コントロール改善意見を監査意見として表明する。

監査の必要性

ITガバナンス

  • ITが経営戦略の貢献に対し、有効に機能していることをチェックする。

内部監査・会計監査の一環

  • 情報システムは業務のほとんどで使われている。
  • 各監査の一環として、情報システムの妥当性や安全性をチェックする。
  • 公認会計士が任意の業務としてシステム監査を行うこともある。

経営戦略実現の要素

  • 情報システムは経営戦略実現の支援に大きく関与する。
  • 情報システムが効率的に機能していることをチェックする。

情報システムの安全運用

  • 情報漏洩やシステムダウンによる経営インパクトは大きい。
  • 情報システムの安全性対策が適切であることをチェックする。

企業の統制

内部統制

  • 内部牽制制度 会社業務を機能的に分割することで、不正・誤謬の防止や発見を促す仕組み。

  • 内部監査制度 内部監査規定に基づき、担当者が監査と報告を行う。

外部統制

三者が客観的に評価・報告を行う。

コントロールの機能

  • 予防牽制機能
  • 誤謬摘示機能
  • 修正回復機能

情報システム

コントロールの観点

信頼性

  • 品質向上
  • 障害防止
  • 障害回復

安全性

効率性

  • 経営目的との適合性
  • 稼働状況の効率性

可監査性

監査証跡

事象の発生からその結果までを双方向で追跡できる仕組みのこと。

留意点

  • 経済性、効率性の考慮 : 詳細であるほど経済性、効率性は低下する
  • 見読可能性の提供
  • 承認行為の追跡 : 最も重要なプロセス
  • 保存期間、保存方法の妥当性

ディジタルフォレンジック

デジタルフォレンジックとは、犯罪捜査や法的紛争などで、コンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称。
“forensics”には「法医学」「科学捜査」「鑑識」といった意味があり、分かりやすく意訳すれば「デジタル鑑識」。

デジタルフォレンジック(コンピュータフォレンジック)とは - IT用語辞典 e-Words

情報システムの内部統制

業務処理統制

  • 業務フローをベースにリスクチェックを行う
  • 完全性(網羅性)、正確性、正当性(妥当性)をチェックする
  • コントロールの確保手段
    • エディットバリデーション
    • トータルチェック
    • オンライン連番チェック
    • コンピュータファイルマッチング
    • ターンアラウンド : 入力データを画面に再表示してチェックすること。
    • アクセスコントロール

全般統制

  • システム管理基準をベースにチェックする
  • システムのライフサイクル全般、安全性、外部委託契約が対象

コントロールの評価

整備状況の評価

存在するコントロールの評価。

運用状況の評価

コントロールが実際に機能しているか。

1.システム監査の計画

監査計画の体系

 ├ 期間計画
 │ ├ 中長期計画
 │ └ 年度計画
 └ 個別計画

監査計画の目的

  • 監査目的の明確化 システム監査を実施する目的を明確化する。
    特に、何に重点を置くかは経営や業務の観点から総合的に判断する必要がある。

  • 監査業務の効率化 限られた予算、資源の中で監査を効率的に行うための監査方法を決定する。

  • システム監査技術者の育成 育成には時間がかかるため、中長期的な育成を前提とした計画が必要になる。

監査実施サイクル

一過性、定期、継続

1-1 中長期計画書の作成

  • 作成は3~5年単位。中長期経営計画などに合わせて作成する。

記載項目

  1. 重点監査方針
    ・監査対象やテーマを設定するにあたり、基本方針を明らかにし監査の方向付けを行う。
    ・経営計画などから方針を検討し、整合性をとりながら策定する。
    ・また、予算や人員などの制約事項を加味した方針を打ち出す。

  2. 重点監査対象 ・監査対象としてのシステムや業務などを明らかにする。

  3. 重点監査テーマ
    ・各種性能(有効性、信頼性など)のどれに重点を置くかを明らかにする。
    ✅ 経営計画(経営戦略、重点課題)などの上位文書との整合性をとることが肝要。

  4. システム監査技術者の人員計画
    ・実施体制の計画を行う。
    ・人員の数・スキルに制約がある場合は、ツール活用や外部専門家の活用などを検討する。

  5. システム監査技術者の能力開発計画
    ・育成は中長期に及ぶため、計画に能力開発の計画を盛り込む。

  6. 経費予算計画など
    ・実施における予算などを明らかにする。

1-2 年度計画書の作成

・中長期計画書をインプットとして、年度単位の計画書を作成する。

記載項目

  1. 監査目的
    ・監査部門としての年間計画を行い、経営と合意する。
    ・関連部門に通知する。(協力してもらうため)

  2. 実施対象
    ・当年度の監査対象システム、業務を明らかにする。

  3. 重点監査テーマ
    ・当年度の重点監査テーマを明らかにする。
    ・実施対象の絞り込みに合わせて、テーマの絞り込みを行う。

  4. 実施体制
    ・当年度の実施体制を計画する。
    ・人員の外部調達や育成も含めて、実施が可能な現実的な体制を組む。

  5. 実施スケジュール
    ・当年度の具体的なスケジュールを策定する。
    ・関連部門へ協力依頼する時期が確認できるようにする。

  6. システム監査技術者の採用・育成計画
    ・実施体制に応じ、人員採用や育成計画を合わせて具体化する。

  7. 予算
    ・実施における必要経費。
    ・ツールなどの費用(イニシャル、ランニング、サブスクリプションなど)。
     ✅監査手続きと合わせて整理しておきたい。
    ・外部委託費(専門家の活用など)。
     ✅対象システムや監査手続きの専門性が高い場合は、専門家を積極的に活用したい。
    ・育成費用(研修、教材など)。

  8. 自組織体の監査基準の見直し

1-3 個別計画書の作成

個々のシステム監査業務ごとに作成する。

記載項目

  1. 監査目的
    ・なぜ監査を行うのか、その目的を明確にする。
    ・できるだけ具体的に記述する。
    ・経営課題との適合性やテーマの妥当性を確認する。

  2. 監査対象
    ・監査対象のシステムや業務を明確にする。
    ・対象は年度計画に沿って決定する。

  3. 監査範囲
    ・対象システムや業務の具体的な範囲を明確にする。

  4. 監査目標
    ・監査を行うことで何を明らかにするのかという目標を明確にする。

  5. 監査手続
    ・監査を行うにあたっての監査手続を明確にする。
    ・最適な監査手続を選択することで、手続の重複や欠落を予防する。
    ・効率性に配慮し、監査技法の選定を行う。

  6. 監査時期・監査日程
    ・監査を行うスケジュールを記載する。
    進捗管理のベースラインとする。

  7. 監査責任者・業務分担
    ・監査における責任者や業務分担などを記載する。
    ・外部に業務を委託する場合は、その体制や役割をあわせて記述する。

  8. 被監査部門の責任者・担当者
    ・監査で関係する被監査部門の責任者や担当者などを明確にする。
    ・計画書に記載することで、上位層からの承認を得て、該当部門に役割を認識させる。

  9. 他監査との連携・調整
    ・企業内で行われる他の監査業務との連携や調整を行い、整合性をとる。

  10. 報告時期
    ・監査報告書の作成・提出時期について明らかにする。

  11. 監査コスト
    ・一連の監査で必要となるコストを明らかにする。
    ・出張費や外部委託費なども含める。(総コストを出す)