システム監査の特徴

特に金融機関におけるシステム監査については、FISC(金融情報システムセンター)、金融検査マニュアルにおいて、位置づけが定義されています。
また、システム監査特有の監査担当者の専門性やシステム監査基準があることから、説明します。

金融機関におけるシステム監査の必要性

金融機関の情報システムの重要性について、金融情報システムセンター(FISC)の「金融機関等のシステム監査指針(第3版)では、次の点が重要になってきています。

  • 金融機関等における情報システムは、それ自体が経営戦略と一体となっている
  • 情報システムリスクは、事業活動に伴って生ずるビジネスリスクのコアリスクとなっていることに留意する必要がある
    とした上で、今日の金融機関等の経営においては、情報システムに関わるコントロール(情報システムの関わる内部統制と同義)の構築と、当該コントロールが効果的に機能しているかどうかを確かめるための第三者検証の仕組み(システム監査)

情報システムリスクは、経営環境に伴って変化するものであり、また、他のビジネスリスクへと連鎖する性質を持つことに十分に留意し、体系的で弾力的な内部統制を構築し、それが効果的に機能するよう、第三者検証の仕組みを経営に組み込む必要があると記述されています。
その上でシステム監査を次のように定義しています。

FISCによるシステム監査の定義

情報システムの有効性、効率性、信頼性、安全性及び遵守性を達成できるよう、情報システムリスクを把握し、情報システム関わるコントロール(ITガバナンスを含む場合がある)が適切かつ効果的であることを被監査部門から組織的に独立したシステム監査人が検証し、その結果を保証意見又は助言意見としてとりまとめ、経営者に報告する監査

 

金融検査マニュアルとシステム監査

金融検査マニュアルにおいても、システム管理態勢に対する内部監査の実施が必須のものとされています。
システム監査は、あくまでも内部監査の一環であることが強調されているように記載されています。
改定された金融検査マニュアルでは、経営管理(ガバナンス)態勢の確認検査用チェックリスクの「Ⅱ.内部監査態勢の整備・確立状況」において、次のチェック項目を設けて、特にシステム等について特別な監査を実施する態勢の整備を求めています。

1.取締役会及び取締役会等による内部監査態勢の整備・確立
(2)規程・組織体制の整備 ④内部監査部門の態勢整備
(v)取締役会は、通常の監査とは別に、法令等違反が生じやすい業務、システム等 について、特別な監査を実施できる態勢を整備しているか。
また、現行の内部監査態勢で十分な監査業務を遂行し得ないと判断した業務等について、外部の専門家を活用することにより内部監査機能を補強・補完している場合においても、その内容、結果等に引き続き責任を負っているか。

 

また、オペレーショナル・リスク管理体制の確認検査用チェックリスト(別紙2)システムリスク管理態勢において、次のチェック項目を設けています。

(別紙2:システム管理態勢)
Ⅲ.個別の問題点
2.システム企画・開発・運用管理等(4)システム監査
(i)システム部門から独立した内部監査部門が定期的にシステム監査を行っているか。

(ii)内部監査部門は、システム関係に精通した要員を確保しているか。
また、システムリスクについて、必要に応じ、会計監査人等による外部監査を受けているか。

 

システム監査の特徴

システム監査も内部監査の一部ですので、内部監査プロセスの点では、他の分野の内部監査と基本的に変わるところはありません。
しかし、情報システムを監査対象としていることから、内部監査に求められる専門性の点では、固有の専門領域があります。ここでは、特に次の2点に関して説明します。

1.内部監査担当者の専門性ーシステム監査人

内部監査部門でシステムリスクに関するシステム監査を実施する場合、情報システムに精通した要員の確保が必要となります。
情報システムに精通した要員とは、単に情報システムに関する技術的専門性を有することだけでなく、金融機関の業務自体にも精通している監査担当者であることが求められます。

このようなシステム監査の担当者の要件を能力面から認定する資格として、情報システムコントロール協会(ISACA:Information System Audit and Control Foundation)の公認情報システム監査人(CISA: Certified Information Systems Auditor) 、 (社)日本内部監査協会の情報システム監査専門内部監査士(QISA)、経済産業省が認定する情報処理技術者認定試験のシステム監査技術者等があります。

2.システム監査基準

システム監査を実施するにあたり、監査部門は監査目的の達成と監査品質の確保のために、監査目的である情報システムの「有効性」、「効率性」、「信頼性」、「遵守性」及び「安全性」を達成、効率的・効果的な管理を実施しているかを評価する、効率的かつ公平な監査実施を実現するために明確な監査基準を設定する必要があります。

この監査基準に関して、わが国におけるシステム監査の領域では、会計監査にみられるような画一的な監査基準は確立していません。
しかし、一般的な監査基準として、(財)金融情報システムセンターが公表している「金融機関等のシステム監査指針」等、及び経済産業省が公表しているシステム監査基準(2004年10月最終改訂)があります。
さらに、グローバルスタンダードと目される基準としてISACAにより公表されている「Standards for Information Systems Auditing」(情報システム監査に関する一般基準)があります。
さらに、評価基準として公表されている「Audit Guidelines」の活用により、システム監査の監査手順及びマニュアルの策定も考えられます。

※Audit Guidelines:ISACAが公表している情報システムに関する監査のガイドラインであり、COBITに含めて提供されている。

 

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す