1. システム監査

1.0 「システム監査」における目標

監査の目的,種類を修得し,適用する。

システム監査の目的,手順,対象業務についての考え方を修得し,適用する。

システム監査の計画・実施・報告・フォローアップ,システム監査の体制整備の考え方を修得し,適用する。

情報システムに関係する監査で参照される代表的な基準,法規などを修得し,適用する。

1.1. 監査業務

情報システムに関係する監査の目的,種類を理解する。

用語例

会計監査,業務監査,システム監査,情報セキュリティ監査,法定監査,任意監査,内部監査,外部監査,立入監査,監査の利用者に対する保証,監査の依頼者に対する助言

1.2. システム監査の目的と手順

1.2.1. システム監査の目的

システム監査の目的は,情報システムに係るリスクに適切に対応しているかどうかを,高い倫理観の下,独立かつ客観的な立場のシステム監査人が検証・評価し,もって保証や助言を行うことを通じて,組織体の経営活動と業務活動の効果的かつ効率的な遂行,さらにはそれらの変革を支援し,組織体の目標達成に寄与すること,及び利害関係者に対する説明責任を果たすことであることを理解する。

用語例

システム監査人の権限と責任等,監査人の倫理,専門的能力の保持と向上,正当な注意と秘密の保持,システム監査に対するニーズの把握と品質の確保,監査の独立性と客観性の保持,情報システムの利活用に係る検証・評価

1.2.2. システム監査の流れ

システム監査は,監査計画の策定,監査の実施,監査報告とフォローアップという流れで行われることを理解する。

用語例

リスクの評価に基づく監査計画の策定(リスクアプローチ),監査証拠の入手と評価,監査調書の作成と保管,監査の結論の形成,監査報告書の作成と報告,改善提案のフォローアップ

1.3. システム監査の対象業務

システム監査の対象業務は,情報システムのコントロールとマネジメントだけでなく,ガバナンスにまで及ぶことを理解し,さらに,情報システムの企画・開発(アジャイル開発を含む)・運用・保守・廃棄のプロセス,外部サービスの調達・利活用のプロセスなどに及ぶことから,各プロセスで評価する内容を理解する。また,システム監査を実施する目的及び対象範囲は,監査規程,契約書などの文書,監査計画によって明確に定めることを理解する。

用語例

企画プロセスの妥当性,開発・運用・保守プロセスの信頼性・効率性,リスク,コントロール,準拠性,適時性,情報セキュリティ,内部監査規程,システム監査委託契約書

1.4. システム監査計画の策定

有効かつ効率的な監査を行うために,システム監査人は監査の目的・テーマ,監査対象範囲,監査の方法,実施時期,実施体制,実施スケジュールなどの監査計画を策定することを理解する。

用語例

中長期計画,年度計画,個別監査計画

1.5. システム監査の実施(予備調査,本調査,評価,結論)

1.5.1. 予備調査,本調査,結論

予備調査,本調査,結論の一連の監査業務を理解する。

1.5.2. 監査手続の適用

システム監査手続で利用される,代表的なシステム監査技法を理解する。

用語例

チェックリスト法,ドキュメントレビュー法(文書及び記録の収集・閲覧),インタビュー法(質問書・調査票),ウォークスルー法,突合・照合法,現地調査法,統計的サンプリング

1.5.3. コンピュータ支援監査技法(CAAT)

監査ソフトウェアなどを利用してシステム監査を実施する,コンピュータ支援監査技法を理解する。

用語例

監査ソフトウェア,データサンプリング,データ分析,テストデータ法,監査モジュール法,ペネトレーションテスト法

1.5.4. 監査証拠の入手と評価

監査証拠とは,システム監査人の監査の結論を裏付けるために必要な情報であることを理解する。また,監査の結論を裏付けるためには,適切かつ慎重に監査手続を実施し,十分かつ適切な監査証拠を入手する必要があることを理解する。監査の実施において監査証拠を監査人が円滑に入手できるように,情報システムが構築,整備されていることが望ましい点を理解する。また,監査対応のためだけのドキュメント作成を開発現場に求めるような負荷をかけないよう考慮することが望ましい点を理解する。

用語例

インシデント報告書,進捗管理資料,アクセスログ,トランザクションログ,監査証跡,監査証拠

1.5.5. 監査調書の作成と保管

システム監査人は,調査,収集,検証・評価した情報を,監査の結論に至った過程が分かるよう整理して文書化した監査調書を作成,保管し,監査報告書を作成するときの基礎資料や監査結果の裏付けとすることを理解する。

用語例

再現性,監査講評会

1.5.6. 他の監査との連携・調整

システム監査は,公認会計士による監査,監査役などによる監査,内部監査人による監査などと関係があることを理解する。

用語例

法定監査,任意監査,金融商品取引法監査,会社法監査,経営監査,業務監査,会計監査,内部監査,外部監査,内部監査基準,専門職的実施の国際フレームワーク(IPPF)

1.6. システム監査の報告とフォローアップ

システム監査人は,監査目的に応じた適切な形式で,監査結果を監査の依頼者や適切な関係者に報告すること,報告書に記載した改善提案又は改善計画について所要の措置が適切かつ適時に講じられているかどうかのフォローアップを行うことを理解する。

用語例

システム監査報告書,指摘事項,監査の利用者に対する保証,監査の依頼者に対する助言,改善提案,改善計画,フォローアップ,フォローアップ報告書

1.7. システム監査の体制整備

システム監査に対するニーズを満たしているかどうかを含め,一定の監査品質を確保するための体制の整備・運用が必要であることを理解する。

用語例

システム監査人の権限と責任等の明確化,専門的能力の保持と向上,正当な注意と秘密の保持,システム監査に対するニーズの把握と品質の確保,監査の独立性と客観性の保持,精神的独立性,外観的独立性

1.8. その他のシステム関連の監査

1.8.1. 情報セキュリティ監査

情報セキュリティ監査の目的,役割を理解する。

用語例

情報セキュリティ監査基準,情報セキュリティ管理基準

1.8.2. 個人情報保護監査

個人情報保護監査の目的,役割を理解する。

用語例

情報資産の保全,情報漏えいの可能性,情報漏えいリスク

1.8.3. コンプライアンス監査

コンプライアンス監査の目的,役割を理解する。

用語例

行動指針,倫理,透明性

1.8.4. マネジメントシステム監査

品質,環境,サービス,情報セキュリティ,事業継続などの各種マネジメントシステムを対象とするマネジメントシステム監査の目的,役割を理解する。

用語例

JIS Q 19011(マネジメントシステム監査のための指針)

1.9. 情報システムに関係する監査関連法規

1.9.1. システム監査基準・システム管理基準

システム監査における監査人の倫理は,経済産業省が策定したシステム監査基準によって規定されていることを理解する。また,システム監査の判断尺度を確定する際の客観的な参照基準として,経済産業省が策定したシステム管理基準などを用いることができることを理解する。

用語例

監査人の倫理,システム監査上の判断尺度,監査の独立性と客観性の保持,正当な注意と秘密の保持

1.9.2. 情報セキュリティ関連法規

情報セキュリティに関する法律,情報セキュリティ監査の対象組織,情報システムに及ぼす影響を理解する。

用語例

刑法(電磁的記録不正作出及び供用,電子計算機損壊等業務妨害,電子計算機使用詐欺),不正アクセス行為の禁止等に関する法律,電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律,電子署名及び認証業務に関する法律

1.9.3. 個人情報保護関連法規

個人情報保護に関する法律やガイドライン,個人情報保護におけるシステム監査の役割を理解する。

用語例

個人情報保護法,マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律),特定個人情報の適正な取扱いに関するガイドライン,JIS Q 15001,プライバシーマーク制度

1.9.4. 知的財産権関連法規

知的財産権に関する法律,システム監査では権利侵害行為を指摘する必要性があることを理解する。

用語例

著作権法,特許法,不正競争防止法,営業秘密管理指針

1.9.5. 労働関連法規

労働に関する法律,システム監査では法律に照らして労働環境における問題点を指摘する必要があることを理解する。

用語例

労働基準法,労働者派遣法,男女雇用機会均等法

1.9.6. 法定監査関連法規

システム監査は法定監査との連携を図りながら実施する必要があることを理解する。

用語例

金融商品取引法,会社法