5-1-1 システム監査

システム監査では、対象の組織体が情報システムにまつわるリスクを適切にコントロールし、整備・運用しているかどうかをチェックする

■監査業務の種類
監査とは、ある対象に対し、順守すべき法令や基準に照らし合わせ、業務や成果物がそれに則っているかについて証拠を収集し、評価を行って利害関係者に伝達すること。
監査の業務には、その対象によって、システム監査、会計監査、情報セキュリティ監査、個人情報保護監査、コンプライアンス監査など様々なものがある。
また、組織外の独立した第三者が行う外部監査と、その組織の内部で行われる内部監査の2種類に分けられる。
さらに、基準に照らし合わせて適切であることを保証する保証型監査と、問題点を検出して改善提案を行う助言型監査という分け方もある。

■システム監査の目的
システム監査では、情報システムに関して監査を行う。対象の組織体(企業や行政機関)が情報システムに関連するリスクを適切にコントロールし、整備・運用しているかを総合的に点検・評価・検証する。監査を受けた組織体は、監査の結果を基に、情報システムの安全性、信頼性、準拠性、戦略性、効率性、有効性をさらに高め、経営方針や戦略目標の実現に取り組むことができるようになる。

■システム監査人の要件
システム監査を行う人をシステム監査人という。システム監査人の要件で最も大切なものは独立性。
また、職業倫理や誠実性、そして専門能力をもって職務を実施する必要がある。

■システム監査の手順
①監査計画の策定
監査手続きの内容、時期及び範囲などについて適切な監査計画を立案する。監査計画は、事情に応じて修正できるように、弾力的に運用する

②予備調査
監査手続は、十分な監査証拠を入手するための手続き。システム監査の調査は、予備調査と本調査の二つに分けて行う。
予備調査では、正確なシステム監査を実施するために、管理者へのヒアリングや資料の確認などで、監査対象の実態を概略的に調査する。

③本調査
予備調査の結果を基に、監査対象の実態を調査する。システム監査人は適切かつ慎重に監査手続きを実施し、監査結果を裏付けるのに十分かつ適切な監査証拠を入手する。
監査手続きとしては、ヒアリング、現場調査、資料の入手、内容確認、質問票やアンケートなどがよく使われる。

④評価・結論
監査手続の結果とその関連資料をまとめて監査調査として作成する。

■システム監査の報告
システム監査人は、実施した監査についての監査報告書を作成し、監査の依頼者に提出する。
監査報告書には、実施した監査の対象や概要、保証意見または助言意見、制約などを記載する
また、監査を実施した結果において発見された指摘事項と、その改善を進言する改善勧告について明瞭に記載する。

■システム監査終了後の任務
システム監査人は、監査報告書の記載事項について責任を負う。そして監査の結果に基づいて改善できるよう、監査報告に基づく改善指導(フォローアップ)を行う。また、システム監査の実施結果の妥当性を評価するシステム監査の品質評価も行うことがある。

■システム監査技法
システム監査の技法としては、一般的な資料の閲覧・収集、ドキュメントレビュー(査閲)、チェックリスト、質問書・調査票、インタビューなどの他に次のような方法がある。

①統計的サンプリング法
母集団からサンプルを抽出し、そのサンプルを分析して母集団の性質を統計的に推測する。

②監査モジュール法
監査対象のプログラムに監査用のモジュールを組み込んで、プログラム実行時の監査データを抽出する。

③IFT(integrated test facility)法
稼働中のシステムにテスト用の架空口座(ID)を設置し、システムの動作を検証する。実際のトランザクションとして架空口座のトランザクションを実行し、システムの正確性をチェックする。

④コンピュータ支援監査技法(CATT)
監査のツールとしてコンピュータを利用する監査技法の総称。③のITF法もCATTの一例であり、テストデータ法など様々な技法がある。

⑤ディジタルフォレンジックス
証拠を収集し保全する技法。操作記録などのログを取得し、それが改ざんされないように保護する。情報インシデントの調査にも利用できる

⑥ペネトレーションテスト法
対象のシステムに、専門家によって攻撃を行うペネトレーションテストを実施する手法。システムに虚弱性がないかを確認する。

⑦ウォークスルー法
システム監査人が書面上で、または実際に追跡する技法。データの生成から入力、処理、出力、活用までのプロセス全体や、組み込まれているコントロールについて、実際に追跡することで確認する。

■監査追跡
監査追跡とは、監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録。情報システムの可監査性を保つために、ログやトレースの情報を取得できるように設計しておく。

■コントロール
次のような性質のコントロールが適切に行われていることを実証するために用いられる。
・信頼性
　システムが適切に稼働し続けることを確認
・安全性
　情報セキュリティが確保されていることを確認する。不正やセキュリティ上の不備を発見するための仕組み。
・効率性
　システムが無駄なく、効率よく動作することを、確認する。
・正確性
　システム内のデータが正確で、間違いがないことを確認する。
・網羅性
　システム内のデータが完全にそろっていて、抜けや重複がないことを確認する。

コントロール手法の具体例としては、次のようなものがある。
①エディットバリデーションチェック
画面上で入力した値が一定の規則に従っているかどうかを確認し、入力のミスを検出する方法

②コントロールトータルチェック
数値情報の合計値を確認することでデータに漏れや重複が、ないかを確認する方法。

■システム監査の基準
システム監査を行う際の基準としては、システム基準とシステム管理基準がある。

①システム監査基準
システム監査人のための行動規範。一般基準、実施基準、報告基準から構成されている。

②システム管理基準
システム監査基準に従って監査を行う場合に、監査人が判断の尺度としてもちいる基準。
ITガバナンス、企画フェーズ、運用・利用フェーズ、保守フェーズ、外部サービス管理などから構成されている。

■情報セキュリティの監査
情報セキュリティに関する監査を行うためには、システム監査と同様に監査を実施し、評価・フォローアップを行う。さらに、情報セキュリティ特有の監査として、JIS Q27001などの情報セキュリティマネジメントシステムの基準をもとに、監査項目を定めていく。
情報セキュリティマネジメントの基準をもとに、監査項目を定めていく。

①情報セキュリティ監査基準
情報セキュリティ監査人のための行動規範。
システム監査基準の情報セキュリティバージョン。情報資産を保護し、情報セキュリティのリスクマネジメントが効果的に実施されるように、情報セキュリティ監査人が独立かつ専門的な立場から検証や評価を行う。
また、場合によっては他の専門家の支援を仰ぐことも定義されており、適切な監査体制を築いて、情報セキュリティ監査人の責任で監査を行う。

②情報セキュリティ管理基準
情報セキュリティ管理基準に従って監査を行う場合に、監査人が判断の尺度として用いる基準
jis q 27001と27002を基に策定されており、
情報セキュリティマネジメント体制の構築と、適切な管理策の整備と運用を行うための基準となっている。

■監査関連法規・標準

①個人情報保護法
個人情報保護法に関する法律や、プライバシーマーク制度で使われるJIS Q 15001などのガイドラインは、個人情報保護法に関する監査に利用される

②知的財産権関連法規
システム監査では権利侵害行為を指摘する必要があるため、著作権法、特許法、不正競争防止法などの知的財産権に関する法律を参考にする

③労働関連法規
システム監査では法律に照らして労働環境における問題点を指摘する必要があるので、労働基準法、労働者派遣法、男女雇用機会均等法などの労働に関する法律を参考にする。

④法定監査関連法規
システム監査は、会計監査などの法定監査との連携を図りながら実施する必要があるため、株式会社の監査等に関する商法の特例に関する法律や金融商品取引法、商法など法定監査に関わる法律も参考にする。

■コンプライアンス監査
コンプライアンス監査は、組織のコンプライアンスに関する監査。組織の行動方針や倫理、透明性などについて監査を行う。権利侵害行為への指摘、労働環境における問題点の指摘などを行う。