◎システム監査の意義と目的
システム監査ってなに?
>監査対象から独立した客観的な立場で、コンピュータを中心とする情報システムを総
合的に点検・評価し、関係者に助言・勧告すること。
●システム監査の意義と目的
当事者以外には実態がつかみにくいといわれる情報システムの安全性、信頼性、効率
性についてのリスクや課題を、これらステークホルダーが把握することができる。そ
の結果、情報システム投資や外部委託先選定などの意思決定やリスクに応じた改善策
の実施を可能にする。
◎システム監査の対象業務
●対象業務
○会計監査
会計記録、会計処理、および、会計報告書について、それらの正確性、適正性など
について判断すること。
○業務監査
企業における会計業務以外の購買、生産、販売などの諸業務活動の合理性、能率、
妥当性などについて判断すること。
○情報セキュリティ監査
情報資源全般を対象として、運用管理状況や情報セキュリティ対策実施状況の適切
性を判断すること。
○システム監査
被監査部門から独立した立場で、情報システムを幅広い観点から調査し、システム
が経営に貢献しているか、不正が行われていないかなどを判断すること。
○法定監査
金融商品取引法や会社法など、法律で監査を受けることを義務付けられている企業
・団体に対する監査。
●システム監査基準
情報システムの監査を適切に行うための実施基準システム監査業務の品質確保と効率
的な監査の実施を目的としている。経済産業省が策定。
●内部監査規程
内部監査は組織内の者が行う監査で、内部監査を適切に行うための基本事項を定めた
ものを内部監査規定という。内部監査の目的、対象業務と範囲、実施手続き、監査方
法などを定める。
◎システムの可監査性
●システムの可監査性
処理の正当性や内部統制を効果的に監査できるように、前もって情報システムが設計
・運用されていること。
●監査証跡(audit trail)
情報システムのデータ処理内容や処理過程をシステム監査人が追跡できるように、時
系列に記録を残したもののことを指す。情報システムのコントロール(内部統制)の
機能が、情報システムの健全性を確保していることを、事後に双方向で追跡し、確認
できる仕組みのこと。監査意見の根拠となる資料。
●監査証拠(audit evidence)
監査人が監査報告書に記載する監査意見(評価・指摘・勧告)を立証するために必要
な事実資料。監査調書の中に盛り込まれる。
◎システム監査計画
●監査中長期計画
3年程度を視野に入れた計画。会社の中期経営計画、中期情報化計画と整合性を取っ
て計画する。
●監査基本計画
中長期計画を年度ごとの計画に展開したもの。年度の経営計画書および情報システム
計画書に対応させてシステム監査部門の年度目標を明確にする。
◎システム監査の実施
●予備調査
管理者へのヒアリングや資料の確認によって、監査対象の実態を概略的に調査する。
その結果によって、本調査で時間をかけて調査する項目、確認すればよい項目の選別
を行い、必要であれば監査個別計画を修正する。
●本調査
監査対象の実態を、監査個別計画で設定した監査項目・監査手続きに従って調査を行
う。監査手続きとしては、ヒアリング、現場調査、資料(文書や記録)の入手と内容
確認、質問票などがよく使われる。
◎システム監査の報告
●監査報告書作成
予備調査、本調査で集めた監査証拠を確認・分析・評価して、「システム監査報告書
」の原案を作成する。監査報告書には、監査の実施状況、監査個別計画で設定した監
査テーマについての「評価」「改善事項」(改善が必要な事項)とそれに対する「改
善案」を記述する。
●監査報告内容
○保証意見
情報システムの信頼性や安全性、効率性について一定の保証を与える。
○助言意見
指摘事項・改善事項のこと。
○指摘事項
システム監査人が自らの判断基準に基づき指摘した問題点。
○改善事項
指摘事項のうち、システム監査人が改善を必要と判断した事項。
○改善勧告
改善事項を緊急性を要する事項(緊急改善)とその他の事項(通常改善)に分けて
整理した勧告。
◎システム監査の品質評価
●システム監査の品質評価手順
○システム監査担当者が監査調書に基づき、監査目的に適合した総合評価、監査証拠
に基づく指摘事項、実現可能性のある改善勧告の原案を監査意見という形で明確化
する。
○システム監査部門内でその責任者を中心として、報告書に記載しない事項、見解を
異にする事項、監査担当者ごとの意見を全社的観点から検討し、システム監査部門
としての統一見解をとりまとめる。
○定められた記載様式により試案である旨を明示した監査報告書案を作成する。
○被監査部門・改善対象部門・関係部門等と適時かつ速やかに意見交換を行い、指摘
事項における事実誤認や新たな問題点の有無、また改善勧告の妥当性を確認し、監
査意見を確定させる。
○正式な監査報告書を作成し、内容についてシステム監査部門責任者の承認を得た上
で、経営陣・被監査部門・改善対象部門を交えた監査報告会を適時かつ速やかに開
催する。
◎システム監査基準
●一般基準
監査に関する必要事項が書かれたもの。
●実施基準
業務ごとの監査基準や対応計画が書かれたもの。
●報告基準
経営陣への報告について書かれたもの。
◎システム監査技法
●テストデータ法
実際にテストデータを作成・使用してシステムをテストする。
○汎用監査ソフトウェア法(監査プログラム法)
監査人の指定した基準に従ってファイルからデータを抽出し演算比較などを実施。
○組み込み監査モジュール法(監査プログラム法)
モジュールを組み込み、指定された通過点でのデータを抽出して記録する。
○総合テスト法(ITF:Integrated Test Facility)
システムに架空の口座を設け、実稼動中にテストデータを流して、あらかじめ
手作業で計算した値と照合するもの。
○並行シュミレーション法
テストプログラムを実行した結果と本番プログラムで処理した結果を比較して
正常性を確認する。
○スナップショット法
システムにルーチンを組み込ませ、コードを付与したデータが通過する際に、
その時点の主記憶装置の内容を出力させる。
○トレーシング法
特定のトランザクションを追跡して、実行したプログラムリストを作り、
プログラムの論理的な正確性を検証する。
○コード比較法
本番プログラムを監査用プログラムと比較して、その正当性を検証する。
◎監査証拠
◎監査調書
◎保証型監査
◎助言型監査
◎コンピュータ支援監査技法(CAAT)
人手(質問書、インタビュー・レビュー)からコンピュータを利用したシステム監査
(CATT:Computer Assisted Tuditing Technique)となりつつある。
◎内部統制の意義と目的
●内部統制とは
企業の資産保全、会計資料の正確さと信頼性の照合、経営能率を促進し、定められた
経営方針の厳守を促進すること。
●内部統制の目的
○内部統制の確立と維持責任。
○経営方針を守らせる。
○資産の保全不正やエラーの防止と早期発見。
○記録・情報の正確性、安全性、適時性の保障。
●内部統制の問題点
○費用対効果の合理的な範囲にとどまる。
○想定しない問題には機能しない
○監査責任者が限界を悪用すれば機能しない。
○運用者にミス等のエラーがあると機能しない。
○状況の変化で手続き自体が無意味となる。
◎内部統制報告制度
●内部統制報告制度(J-SOX制度)
2008年4月より、財務報告の信頼性を確保するために金融商品取引法に基づき義
務付けられる制度。内部統制の目的を達成するための対応を経営者自らが評価する報
告書であり、公認会計士または監査法人の監査証明を受け、企業が事業年度ごとに内
閣総理大臣に提出する必要がある。
◎ITガバナンス
●ITガバナンス
企業が、ITに関する企画・導入・運営及び活用を行うにあたって、すべての活動、
成果、および関係者を適正に統制し、目指すべき姿へと導くための仕組みを組織に組
み込み、それらを実施していくこと。
◎内部統制の評価・改善
内部統制が適切に実施されるためには、法令順守(コンプライアンス)状況を随時評価し
問題があれば改善する必要がある。法令順守を従業員全員に徹底し、順守状況を評価・
改善する仕組みが必要となる。
◎CSA(統制自己評価)
●CSA(Control Self Assessment)
リスクマネジメントまたは内部統制等に関する統制活動の有効性について、業務運営
のなかで統制活動を担う人々が自らの活動を主観的に検証・評価する手法。