Ｗｅｂ教材一覧＞ 法規・基準

システム監査基準（平成３０年、２０１８年）

https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf
旧版はこちらにあります。

システム監査

システム監査の意義と目的

システム監査とは、
　　　専門性と客観性を備えたシステム監査人が、
　　　一定の基準に基づいて、
　　　情報システムを総合的に点検・評価・検証をして、
　　　監査報告の利用者に
　　　情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、
　　　又は改善のための助言を行う監査です。
　　また、システム監査は、
　　　情報システムリスクに適切に対処しているかどうかを、
　　　独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、
　　　組織体の経営活動と業務活動の効果的かつ効率的な遂行、
　　　さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、
　　　又は利害関係者に対する説明責任を果たすこと
を目的としています。

システム監査には、保証型監査と助言的監査があります。

• 保証型監査
  先に評価基準があり、それを満足しているか否かを評価する監査です。その評価基準は監査に応じて設定することもありますが、ＩＳＭＳのようにＩＳＯやＪＩＳで規格になっている管理基準との適合性を評価することもあります。後者の場合は、評価機関による監査になります。この監査に合格すれば、自社のシステムマネジメントが優れていることを社外に示すことができます。
• 助言型監査
  専門家に自社のシステムマネジメントの状況を評価してもらい、改善するには何をどのようにすればよいかのアドバイスを得ることを目的とする監査です。この監査では保証型監査のような、厳格性は不要ですが、的確な監査を行うために、システム監査基準、システム管理基準に準拠することが求められます。

システム監査基準の意義と適用上の留意事項

「システム監査基準」（以下「本監査基準」という。）とは、
　　　情報システムのガバナンス、マネジメント又はコントロールを
　　　点検・評価・検証する業務（以下「システム監査業務」という。）
　　　の品質を確保し、有効かつ効率的な監査を実現するための
　　　システム監査人の行為規範である。
　本監査基準は、 　　　組織体の内部監査部門等が実施するシステム監査だけでなく、
　　　組織体の外部者に依頼するシステム監査においても適用される。
　本監査基準は、
　　　情報システムの安全性、信頼性、準拠性のみならず、
　　　情報システムの戦略性、有効性、効率性等の監査もカバーし、
　　　かつ、中小規模の企業や、各府省庁、地方公共団体、病院、学校法人等、各種組織体が
　　　各種目的をもってシステム監査を行う場合にも利用できるように、
　　　汎用性のある内容となっている。

システム監査の手順

システム監査は次の順序で行われます。監査人の任務だともいえます。

• 監査計画の立案
  監査対象システム、監査の目的の決定。監査計画書の作成（Ⅲ．システム監査計画策定に係る基準）
• 予備調査
  被監査部門へのヒアリング、資料の収集・確認（【基準８】 監査証拠の入手と評価）
• 本調査
  実地調査し、得た事実情報を監査証拠として保存。システム管理基準により評価（【基準８】 監査証拠の入手と評価）
• システム監査報告書の作成
  監査結果、指摘事項、改善事項をシステム監査報告書にまとめる（【基準９】 監査調書の作成と保管）
• 監査報告
  システム監査報告書を監査依頼者に提出、報告（【基準１０】 監査の結論の形成、【基準１１】 監査報告書の作成と提出）
• フォローアップ
  改善事項の改善状況をモニタリング（【基準１２】 改善提案のフォローアップ）

内容：１２の基準

Ⅰ．システム監査の体制整備に係る基準
　　【基準１】 システム監査人の権限と責任等の明確化
　　【基準２】 監査能力の保持と向上
　　【基準３】 システム監査に対するニーズの把握と品質の確保
Ⅱ．システム監査人の独立性・客観性及び慎重な姿勢に係る基準
　　【基準４】 システム監査人としての独立性と客観性の保持
　　【基準５】 慎重な姿勢と倫理の保持
Ⅲ．システム監査計画策定に係る基準
　　【基準６】 監査計画策定の全般的留意事項
　　【基準７】 リスクの評価に基づく監査計画の策定
Ⅳ．システム監査実施に係る基準
　　【基準８】 監査証拠の入手と評価
　　【基準９】 監査調書の作成と保管
　　【基準１０】 監査の結論の形成
Ⅴ． システム監査報告とフォローアップに係る基準
　　【基準１１】 監査報告書の作成と提出
　　【基準１２】 改善提案のフォローアップ

Ⅰ．システム監査の体制整備に係る基準

【基準１】 システム監査人の権限と責任等の明確化

システム監査の実施に際しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、文書化された規程等又は契約書等により明確に定められていなければならない。

文書化すべき事項
　　・システム監査の目的に関する事項
　　・システム監査の対象範囲に関する事項
　　・システム監査の報告に関する事項
　　・システム監査人の権限・責任に関する事項
　　・システム監査実施のための監査資源（監査時間、監査要員、監査費用等）の確保に関する事項
　　・システム監査人の各種設備や情報資産等へのアクセス権限に関する事項
　　・システム監査業務の委託の可否に関する事項
　　・システム監査人の守秘義務に関する事項

システム監査 の全部又は一部を、組織体外部の専門事業者（監査法人等を含む。）に委託する場合は、委託契約書に、委託するシステム監査業務の内容及び責任等を明確に定める必要があります。

【基準２】 監査能力の保持と向上

システム監査の品質を高め、組織体の状況やIT環境の変化等に対応して、効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない。

システム監査人に必要な知識・技能として、
　　・システム監査に関する専門的知識・技能
　　・情報システムに関する専門的知識・技能
　　・論理的思考能力（ロジカルシンキング及びロジカルライティング）
　　・やコミュニケーション能力（プレゼンテーション技法及びインタビュー技法）
などが挙げられています。

【基準３】 システム監査に対するニーズの把握と品質の確保

システム監査の実施に際し、システム監査に対するニーズを十分に把握したうえでシステム監査業務を行い、システム監査の品質が確保されるための体制を整備しなければならない。

システム監査は、任意監査（法令等によって強制されない監査）であることから、基本的にはシステム監査の依頼者がいかなるニーズをもっているかによって、それに見合ったシステム監査の目的が決定され、システム監査の対象が選択されます。

内部監査と外部監査

内部監査部門内等での自己点検・評価（内部評価）と組織体外部の独立した主体による点検・評価（外部評価）があります。内部監査は、対象を限定して比較的多頻度に行い、そのまとめとして、総合的な観点から外部監査をを定期的に実施するのが適切です。このように監査方法によるニーズの違いがあります。

監査目的

外部監査を行う目的は、大きく助言目的と保証（認定）目的があります。

• 助言目的
  経営陣が、自組織のシステムに不安を持ち不備があればそれを指摘してもらう目的、自社のＩＴガバナンスについて助言を得たい目的です。改善の具体的な指摘事項とともに改善提案を行うことが重点になります。
• 保証目的
  自社の情報システムに関して社外の信頼を得るために、第三者である専門機関から「システム管理基準」などに適合していることを認定してもらう目的です。特定の基準に関する適合性の評価が重点になります。

Ⅱ．システム監査人の独立性・客観性及び慎重な姿勢に係る基準

【基準４】 システム監査人としての独立性と客観性の保持

システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観に十分に配慮しなければならない。また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない。

システム監査人が、監査対象の部門に属していたり、利害関係があったりすると、客観的な立場で監査するのに不適切ですし、監査結果の信頼性も低くなります。
　　・外観の独立性：監査対象から独立した立場
　　・客観的な視点：高い倫理観、社会的な視点から見て公正な判断
が必要であり、それを維持するためにも専門的な知識・技能が求められます。

【基準５】 慎重な姿勢と倫理の保持

システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家としての慎重な姿勢で臨むとともに、倫理観を保持し、誠実に業務を実施しなければならない。

慎重な姿勢とは、誤った監査上の判断や誤解に 基づく監査上の判断がないよう、十分な注意を払うことです。入手した監査証拠の十分性、適切性、正確性について精査監査上の判断に絶対に誤りのないように努めることです。独自の見解により突出した成果を得ようとしてはなりません。

職業倫理の遵守とは、監査の実施や報告において倫理を重んじること、知り得た情報に守秘義務を守ることなどです。

Ⅲ．システム監査計画策定に係る基準

【基準６】 監査計画策定の全般的留意事項

システム監査人は、実施するシステム監査の目的を効果的かつ効率的に達成するために、監査手続の種類、実施時期、及び適用範囲等について、適切な監査計画を立案しなければならない。監査計画は、状況に応じて適時に変更できるように弾力的なものでなければならない。

状況が変化した場合、システム監査の実施過程で新たな状況が発見された場合、又はやむを得ない事情により監査体制の変更が生じた場合には、適宜、計画を修正する必要があります。

アジャイル開発手法は、開発部門と利用部門の協調によって迅速かつ柔軟な反復的･継続的開発をすることが本来の意義です。アジャイル開発手法の本来の意義を損なわないように留意しつつ、監査実施のタイミング、サイクル、作業負荷、及び監査証拠の範囲･種類などを特定して計画を立案する必要があります。

監査手続

監査手続とは、監査人が監査意見を形成するに足る基礎を得るための監査証拠を入手するために実施する手続です。その内容は監査手続書にまとめられます。
　監査手続書を作成することにより、監査人は進捗管理や実施の抜け、漏れのチェックなど、監査品質の管理に役立ちます。また、関係者に示すことにより、監査へに共通理解を高め、円滑な共同作業ができるようになります。

監査手続書には、監査目標、実施担当者、予定期間、監査技法、実施予定時期、適用対象、適用範囲などが記述されます。
　監査開始時点で作成し、予備調査実施後あたらめて本調査を対象にして作成し確定します。
　監査手続書は、監査全般を対象にしたもので、監査計画立案や監査報告書作成など個々のフェーズについては、別途の手順書になります。

【基準７】 リスクの評価に基づく監査計画の策定

システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するリスクアプローチに基づいて、監査計画を策定し、監査を実施しなければならない。

監査でのリスクアプローチ

• 重点主義
  リスクが顕在化した場合の影響が大きい監査対象領域に重点的に監査資源（監査時間、監査要員、監査費用等）を配分するアプローチです。
• 監査リスク
  監査リスクとは、監査人が重要な監査証拠を見落としたり、監査証拠の検討で判断を誤ったりして、監査の結論を誤るリスクです。監査リスクを合理的に低い水準に抑えるというアプローチが求められます。

情報システムリスク

• 固有リスク
  
  • 情報システムに係るリスク
    情報システムの入力、処理、保存、出力プロセスの信頼性、安全性、有効性、効率性等が確保できないとか、ＩＴ戦略と業務プロセスとの不整合などのリスク
  • 情報に係るリスク
    情報システムで処理、保存、出力される情報が、目的に従った利活用ができないとか、情報の機密性、完全性、可用性が確保できないなどのリスク
• 統制リスク
  
  • 情報システム及び情報の管理に係るリスク
    上の固有リスクに対処するための体制・手続等に不備が含まれているリスク

Ⅳ．システム監査実施に係る基準

【基準８】 監査証拠の入手と評価

システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続を実施し、監査の結論を裏付けるための監査証拠を入手しなければならない。

監査証拠の入手

予備調査での監査証拠

監査対象(情報シス テムや業務等)の詳細、事務手続やマニュアル等を通じた業務内容、業務分掌の体制など。関連する文書や資料等の閲覧、監査対象部門や関連部門へのインタビューなどがあります。

本調査での監査証拠

予備調査での監査証拠をベースにして、証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えた証拠を入手します。
単にインタビュー等による口頭証拠だけに依存するのではなく、現物・状況等の確認や照合、さらにはシステム監査人によるテストの実施、詳細な分析などを通じて可能な限り客観的で確証的な証拠を入手するよう心掛けることが重要です。

監査証拠の入手・分析技法

チェックリスト法

システム監査人が、あらかじめ監査対象に応じて作成したチェックリスト形式の質問書に対して、関係者から回答を求める技法

ドキュメントレビュー法

監査対象の状況に関する監査証拠を入手するために、システム監査人が、関連する資料及び文書類を入手し、内容を点検する技法

インタビュー法

監査対象の実態を確かめるために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する技法

ウォークスルー法

データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法

突合・照合法

関連する複数の証拠資料間を突き合わせること。記録された最終結果について、原始資料まで遡ってその起因となった事象と突き合わせる技法

現地調査法

システム監査人が、被監査部門等に直接赴き、対象業務の流れ等の状況を、自ら観察・調査する技法

コンピュータ支援監査技法

監査対象ファイルの検索、抽出、計算等、システム監査上使用頻度の高い機能に特化した、しかも非常に簡単な操作で利用できるシステム監査を支援する専用のソフトウェアや表計算ソフトウェア等を利用してシステム監査を実施する技法。
上述のウォークスルー法や突合・照合法でもコンピュータからのプルーフリストなどを利用することが多くありますが、ここではコンピュータ処理が中心になる手法に限定します。

• 監査モジュール法
  システム監査人が指定した抽出条件に合致したデータをシステム監査人用のファイルに記録し、レポートを出力するモジュールを、本番プログラムに組み込む技法
• テストデータ法
  あらかじめシステム監査人が準備したテスト用データを監査対象プログラムで処理し、期待した結果が出力されるかどうかを確かめる技法
• 並行シミュレーション
  監査人が用意した検証用プログラムに監査対象プログラムと同一のデータを入力して両者の実行結果を比較する方法
• ペネトレーションテスト法
  サイバー攻撃を想定して、実験的に攻撃を試みてセキュリティ上の脆弱性を発見する技法

アジャイル手法によるシステム開発プロジェクトの監査では、開発に支障を与えない考慮が必要です。
開発手法そのものに、監査のために最低限必要となる情報をあらかじめ定義したり、自動化ツールを用いて、監査証拠を入手したりする方法もあります。また、例えばホワイトボードに記載されたスケッチの画像データや開発現場で作成された付箋紙なども監査証跡になります。

【基準９】 監査調書の作成と保管

システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない。

システム監査人は、すべてのシステム監査において、実施内容の客観性等を確保するために、監査調書を作成します。その記載事項は次の項目があります。
・監査実施者及び実施日時
・監査の目的
・実施した監査手続
・入手した監査証拠
・システム監査人が発見した事実（事象、原因、影響範囲等）及び発見事実に関するシステム監査人の所見
・監査調書のレビューが行われた場合には、レビューアの氏名及びレビュー日

監査調書には、組織体の重要情報や機密情報が含まれていることが一般的 であり、通常、電子媒体で保管されることから、監査調書の受け渡しや持ち出し等のルールを定めるとともに、未承認アクセスに対する防止対策、及び適切なバックアップ対策を講じるようにし、監査調書の散逸、改ざん等に十分に留意することが求められます。

【基準１０】 監査の結論の形成

システム監査人は、監査報告に先立って、監査調書の内容を詳細に検討し、合理的な根拠に基づき、監査の結論を導かなければならない。

システム監査人は、監査調書に基づいて結論表明のための合理的な根拠を固める必要があり、論理の飛躍がないように心掛ける必要があります。
　システム監査人の所見、当該事実を裏づける監査証拠等について、監査対象部門との間で意見交換をすることが必要なこともあります。それは監査対象部門の承認を得るためではなく、事実確認をするためです。

システム監査人は、監査調書の内容から明らかになった、情報システムのガバナンス、マネジメント、又はコントロールの不備がある場合、その内容と重要性から監査報告書の指摘事項とすべきかどうかを判断します。
　その場合、不備の全てを指摘事項とする必要はありません。その内容と重要性に基づいて、順位付けをするべきです。

Ⅴ． システム監査報告とフォローアップに係る基準

【基準１１】 監査報告書の作成と提出

システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。

システム監査報告書の作成に際しては、正確性、客観性、簡潔性、明瞭性、理解容易性、適時性に留意することが大切ですが、それ以外にも留意すべきことが大切です。

• 表現が敵対的になることを避け、建設的なものとすることを心掛ける。報告を受ける人が感情的になったのでは、報告が正しく理解されません。
• 図表、グラフ、イラスト、写真などを利用することも効果的です。
• 経営陣を宛先とする場合には、詳細監査報告書とは別に、要約監査報告書を作成・報告します。
• 指摘事項の記載に際しては、リスクの重大性などをあわせて記載することが望ましい。

監査対象部門に対しては、監査依頼者たる経営陣の了承を得たうえで、監査報告書の写しを回付することが適切です。
　とりわけ、監査報告書に指摘事項及び改善提案を記載した場合には、当該事項に関係する監査対象部門に対しては、当該監査に限定した監査報告書を提出するなどの工夫を行うことが望ましい。
　改善勧告の記載に際しては、重要改善事項と通常改善事項等、あるいは緊急改善事項と中長期改善事項等、その重要度や緊急度に区別して記載すること。あわせて、改善に責任を有する担当部署を明確にする必要があります。

【基準１２】 改善提案のフォローアップ

システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。

フォローアップは、監査対象部門の責任において実施される改善をシステム監査人が事後的に確認するという性質のものです。改善勧告の実現を確認するためのものです。
　その確認をして経営陣に報告するのはシステム監査人の任務ですが、改善計画の策定及びその実行への関与は、システム監査人による独立性と客観性を損なうので行うべきではありません。

システム監査報告書報告の構成

保証型監査と助言的監査により重点が異なりますが、監査報告書の構成はほぼ同じです。

• 導入区分：実施監査の対象等を記載
  監査部門の責任者，作成日，監査対象
• 概要区分：実施した監査の内容等を記載
  監査範囲及び手続，実施期間，担当区分及び担当者
<意見区分：保証意見または助言意見を記載
監査結果（監査意見），指摘事項，改善勧告（通常改善・緊急改善）→詳細後述
• 特記区分：必要に応じてその他特記すべき事項を記載
  関連部門との調整事項，その他付属事項

指摘事項

保証型監査では評価基準を満足しているか否かの判断結果です。助言的監査では、不満足項目とそれを解決することを前提とするので、改善勧告との連携を重んじた記述になります。

• 監査目的への適合性
  指摘事項は監査目的と経営戦略・情報戦略と適合していることが必要
• 指摘事項の優先順位
  指摘事項に優先順位を付け，被監査部門が重要性の判断を可能とすること
  　　経営課題，監査目的との適合性
  　　改善の緊急性
  　　潜在的問題の顕在化の可能性
• 監査証拠による裏付け
  証拠がない状態での指摘は不可
• 被監査部門，関係部門との意見交換
  事実誤認の排除のために実施．意見を斟酌するという意味ではない
• 関連法規，ガイドラインなどへの準拠性
• 発見事項と意見の分別
  事実と意見を明確に分別できるように記載すること

改善勧告

助言型監査では指摘事項に並んで主要なものになります。重要な指摘事項について改善を要する事項を記載。フォローアップ実施時までに解決を義務付けます。

• 優先順位
  経営課題からの重要性による優先順位
• 具体的かつ詳細な記述
  解決を義務付けるので、できる限り具体的かつ詳細な改善提案にする必要がある。
• 改善担当部門との意見交換
  改善提案のの妥当性と実現可能性の確認をする
• フォローアップの実施
  改善作業の進捗の確認，実施の支援を行い，改善勧告の妥当性を確認

補足事項

システム監査人がシステム監査の概要や監査意見の外に，意見を表明する必要性があるとき記述

• 総合評価，指摘事項，改善勧告に該当しない意見
• 権限者に監査結果を十分理解してもうために必要な補足資料
• システムの現状判断または改善のために必要な情報