1.0 「システム監査」における目標
監査の目的,種類を修得し,適用する。
システム監査の目的,手順,対象業務についての考え方を修得し,適用する。
システム監査の計画・実施・報告・フォローアップ,システム監査の体制整備の考え方を修得し,適用する。
情報システムに関係する監査で参照される代表的な基準,法規などを修得し,適用する。
1.1. 監査業務
情報システムに関係する監査の目的,種類を理解する。
1.2. システム監査の目的と手順
1.2.1. システム監査の目的
システム監査の目的は,情報システムに係るリスクに適切に対応しているかどうかを,高い倫理観の下,独立かつ客観的な立場のシステム監査人が検証・評価し,もって保証や助言を行うことを通じて,組織体の経営活動と業務活動の効果的かつ効率的な遂行,さらにはそれらの変革を支援し,組織体の目標達成に寄与すること,及び利害関係者に対する説明責任を果たすことであることを理解する。
1.2.2. システム監査の流れ
システム監査は,監査計画の策定,監査の実施,監査報告とフォローアップという流れで行われることを理解する。
1.3. システム監査の対象業務
システム監査の対象業務は,情報システムのコントロールとマネジメントだけでなく,ガバナンスにまで及ぶことを理解し,さらに,情報システムの企画・開発(アジャイル開発を含む)・運用・保守・廃棄のプロセス,外部サービスの調達・利活用のプロセスなどに及ぶことから,各プロセスで評価する内容を理解する。また,システム監査を実施する目的及び対象範囲は,監査規程,契約書などの文書,監査計画によって明確に定めることを理解する。
1.4. システム監査計画の策定
有効かつ効率的な監査を行うために,システム監査人は監査の目的・テーマ,監査対象範囲,監査の方法,実施時期,実施体制,実施スケジュールなどの監査計画を策定することを理解する。
1.5. システム監査の実施(予備調査,本調査,評価,結論)
1.5.1. 予備調査,本調査,結論
予備調査,本調査,結論の一連の監査業務を理解する。
1.5.2. 監査手続の適用
システム監査手続で利用される,代表的なシステム監査技法を理解する。
1.5.3. コンピュータ支援監査技法(CAAT)
監査ソフトウェアなどを利用してシステム監査を実施する,コンピュータ支援監査技法を理解する。
1.5.4. 監査証拠の入手と評価
監査証拠とは,システム監査人の監査の結論を裏付けるために必要な情報であることを理解する。また,監査の結論を裏付けるためには,適切かつ慎重に監査手続を実施し,十分かつ適切な監査証拠を入手する必要があることを理解する。監査の実施において監査証拠を監査人が円滑に入手できるように,情報システムが構築,整備されていることが望ましい点を理解する。また,監査対応のためだけのドキュメント作成を開発現場に求めるような負荷をかけないよう考慮することが望ましい点を理解する。
1.5.5. 監査調書の作成と保管
システム監査人は,調査,収集,検証・評価した情報を,監査の結論に至った過程が分かるよう整理して文書化した監査調書を作成,保管し,監査報告書を作成するときの基礎資料や監査結果の裏付けとすることを理解する。
1.5.6. 他の監査との連携・調整
システム監査は,公認会計士による監査,監査役などによる監査,内部監査人による監査などと関係があることを理解する。
1.6. システム監査の報告とフォローアップ
システム監査人は,監査目的に応じた適切な形式で,監査結果を監査の依頼者や適切な関係者に報告すること,報告書に記載した改善提案又は改善計画について所要の措置が適切かつ適時に講じられているかどうかのフォローアップを行うことを理解する。
1.7. システム監査の体制整備
システム監査に対するニーズを満たしているかどうかを含め,一定の監査品質を確保するための体制の整備・運用が必要であることを理解する。
1.8. その他のシステム関連の監査
1.8.1. 情報セキュリティ監査
情報セキュリティ監査の目的,役割を理解する。
1.8.2. 個人情報保護監査
個人情報保護監査の目的,役割を理解する。
1.8.3. コンプライアンス監査
コンプライアンス監査の目的,役割を理解する。
1.8.4. マネジメントシステム監査
品質,環境,サービス,情報セキュリティ,事業継続などの各種マネジメントシステムを対象とするマネジメントシステム監査の目的,役割を理解する。
1.9. 情報システムに関係する監査関連法規
1.9.1. システム監査基準・システム管理基準
システム監査における監査人の倫理は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。また,システム監査の判断尺度を確定する際の客観的な参照基準として,経済産業省が策定したシステム管理基準などを用いることができることを理解する。
1.9.2. 情報セキュリティ関連法規
情報セキュリティに関する法律,情報セキュリティ監査の対象組織,情報システムに及ぼす影響を理解する。
1.9.3. 個人情報保護関連法規
個人情報保護に関する法律やガイドライン,個人情報保護におけるシステム監査の役割を理解する。
1.9.4. 知的財産権関連法規
知的財産権に関する法律,システム監査では権利侵害行為を指摘する必要性があることを理解する。
1.9.5. 労働関連法規
労働に関する法律,システム監査では法律に照らして労働環境における問題点を指摘する必要があることを理解する。
1.9.6. 法定監査関連法規
システム監査は法定監査との連携を図りながら実施する必要があることを理解する。