システム監査の要点

システム監査の要点

システム監査に当たっては、次の3点がポイントになります。
((財)金融情報システムセンター「金融機関等のシステム監査指針(第3版)」より)

  1. 監査の対象となる情報システムの対象領域
  2. 関係する部門
  3. 監査上の着眼点を把握

監査の対象となる情報システムの対象領域

  • 情報システムの計画と管理
  • 情報システムリスクの管理
  • 情報セキュリティ
  • システム開発
  • システム運用
  • システム利用
  • 入出力等の処理
  • ネットワーク
  • システム資産・資源管理
  • 外部委託
  • コンティンジェンシープラン
  • ドキュメンテーション

関係部署

  • 情報システム部門
  • 本部各業務部門
  • 利用部門

監査上の着眼点

情報システムの統制(コントロール)目標(有効性、効率性、信頼性、安全性、遵守性)が該当する。

 

システム監査の種類

システム監査の種類については、次の図のとおり、システムのライフサイクルの各段階に応じたシステム監査を実施する必要がある点、特に、企画段階及び開発段階の内部監査は、システム監査特有の監査テーマとなります。

 

システム監査の種類の例として、各監査種類(部門別システム監査、個別業務別システム監査、テーマ別監査)が対象となる領域、関係する部署との関係をまとめると次のような関係となります。

 

全般統制と業務処理統制

情報システムに関わる統制(コントロール)あるいは、監査において、重要となる概念として、「全般統制(General Control)と「業務処理統制(Application Control)があります。

全般統制

情報システム管理に必要なコントロールを幅広く評価します。
その評価項目は、情報システムに関する計画及び戦略の設定、組織及び規程の整備等というマネジメントレベルから、情報システム部門の開発、運用、セキュリティ管理、EUC及びユーザ満足度の調査まで含みます。

部門別システム監査は、全般統制の部門別での実施であると解釈することもできます。

 

【全般統制の監査ポイント】

監査項目 監査要点
組織及びマネジメント マネジメントの承認を受けた経営計画に整合したシステム戦略を設定し、
実現するためのリソース(システム要員、アウトソーシング、投資)、
管理規程、セキュリティポリシー、モニタリング、コンプライアンス
体制等が整備されているか。
職務の分離 情報システムに関する職務の分離、権限の制限、報告体系等が整備されて
いるか。
システム開発と保守

適切な開発方法論を遵守して、システム開発の進捗管理、承認、
文書化変更管理、テスト、環境管理、研修等が実施されているか。

システムの運用 適切な運用基準を遵守して、システム運用の監視、実施手順の文書化、
障害管理、研修等が実施されているか。
システムソフトウェアの取得と保守 システム・ソフトウェアに関する管理手順を遵守して、取得・アップ
グレード・バージョン管理が実施されているか。
エンドユーザー
コンピューティング
情報システム管理部門の管理にジュンジたハードウェア及びソフトウェアの
取得・開発・保守管理、セキュリティ管理、文書管理が実施されているか。
アウトソーシング サービスレベルマネジメントに基づき外部委託機関とサービスレベル
アグリーメントを締結しているか。
外部委託機関の業務監視及び評価体制が整備されているか。
コンティンジェンシー
プラン
情報システムの停止時における業務継続を確保するためにコンティン
ジェンシープランを整備しているか。
リスク評価に基づく復旧要件、代替リソース・手続、バックアップ、
テストが整備されているか。
理論的アクセス
コントロール
セキュリティポリシーに準拠したアクセス制限として、ログファイルの監視、
ユーザIDEALLY・パスワード管理、リモートアクセス制限、強力な権限IDの監視が実施されているか。
物理的アクセス
コントロール
情報システムの聞きおよびその設置場所に対する外部からの人的なアクセス
管理が整備されているか。
ユーザ管理 重要な情報システム及び情報システム部門の業務に対するユーザの満足度が
調査、評価されているか。

 

業務システム統制

特定の情報システムに関するデータ入力から出力までのしょり、システム間のインタフェース及びセキュリティに関する状況を評価します。

個別業務システム監査は、業務処理統制に当たると解釈することもできます。

 

【業務処理統制の監査ポイント】

監査項目 監査要点
入力原票のコントロール 入力原票が適切に作成、承認、訂正、保存されているか。
インプットのコントロール バッチ処理及びオンライン処理による入力、外部からのデータ受け入れ、エディットバリデーションチェック、入力データの承認等が適切に実施されているか。
プロセシングのコントロール 処理の正確性、ファイル間の整合性が確保され、アプリケーションのインターフェースが適切に管理されているか。
エラーデータのコントロール エラーデータの修正が適切に管理され、エラーの原因が分析されているか。
アウトプットのコントロール 出力帳票の検証、訂正、流通、保存が適切に実施されているか。
マスタデータのコントロール マスターデータの適切な更新管理が実施され、マスターデータの完全性及び正確性が確保されているか。
アクセスコントロール アプリケーションレベルのアクセスコントロールが実施されているか。

 

システム監査に関わる情報の入手

システム監査の基本的なプロセス(「リスク・アセスメント」 → 「監査計画の立案」 → 「事前調査」 → 「監査の実施」 → 「監査結果の報告」 → 「フォローアップ」)自体は、一般の内部監査と何ら変わるところはありません。
しかし、監査領域が異なっていますので、例えば、リスク・アセスメントや内部監査の実施に際して入手すべき情報は、次のようなシステム監査に固有のものが必要となります。

 

【システム監査に必要とされる情報の例】

  • ハードウェア・ソフトウェア・データベース一覧
  • システム管理基準・規程・マニュアル
  • 人員・資産等の管理台帳等
  • 建物等の情報システムに関する資産情報
  • 各業務システムに関するシステム名、データ内容、管理部門、ユーザ部門及び設置場所等の情報

記事製作者

中小企業診断士 湯谷 一夫

コンサルティングのご依頼などサービスの詳細は、次のバナーをクリックしてください。  

コメントを残す