システム監査

2021年7月3日作成，2024年1月14日更新

システム監査

監査の目的，種類を修得し，適用する。
システム監査の目的，手順，対象業務についての考え方を修得し，適用する。
監査計画，監査の実施，監査報告とフォローアップ，監査の体制整備の考え方を修得し，適用する。
情報システムに関係する監査で参照される代表的な基準，法規などを修得し，適用する。

(1) 監査業務

会計監査，業務監査，システム監査，情報セキュリティ監査，法定監査，任意監査，内部監査，外部監査，立入監査，保証を目的としたシステム監査，助言を目的としたシステム監査

会計監査

会計や決算に関する内容を監査する。

業務監査

企業の経営活動や業務活動の管理方法を監査する。

システム監査

システム監査は，情報システムを，「安全性」「効率性」「信頼性」「機密性」「可用性」などの視点から総合的に評価して，助言や改善の勧告および改善結果の再評価（フォローアップ）までを行う一連の行動である。情報システムの健全性を高め，また組織の IT ガバナンスの実現を目的に実施するものである。

情報セキュリティ監査

情報セキュリティに対する基準や対策方法を監査する。

内部監査

その組織の内部で行われる監査。

外部監査

組織外の独立した第三者が行う監査。

監査の利用者に対する保証・助言

経済産業省 "情報セキュリティ監査基準実施基準ガイドライン（Ver 1.0）" では，情報セキュリティ対策の適切性に対して一定の保証を付与することを目的とする監査（保証型の監査）と情報セキュリティ対策の改善に役立つ助言を行うことを目的とする監査（助言型の監査）が規定されている。

不特定多数の利害関係者の情報を取り扱う情報システムに対しては，保証型の監査を定期的に実施し，その結果を開示することが有効である。

表　保証型の監査と助言型の監査の意義
型	意義
保証型の監査	監査対象たる情報セキュリティのマネジメント又はコントロールが，監査手続を実施した限りにおいて適切である旨（又は不適切である旨）を監査意見として表明する形態の監査をいう。保証型の監査の結論として表明される保証意見は，情報セキュリティ監査人が「情報セキュリティ監査基準」に従って監査手続を行った範囲内での請合いであって，かつ当該監査手続が慎重な注意のもとで実施されたことを前提として付与される保証であることに留意する。
助言型の監査	情報セキュリティのマネジメント又はコントロールの改善を目的として，監査対象の情報セキュリティ対策上の欠陥及び懸念事項等の問題点を検出し，必要に応じて当該検出事項に対応した改善提言を監査意見として表明する形態の監査をいう。助言型の監査の結論として表明される助言意見は，情報セキュリティ対策に対して一定の保証を付与するものではなく，改善を要すると判断した事項を情報セキュリティ監査人の意見として表明するものである。

(2) システム監査の目的と手順

システム監査では，情報システムに関して監査を行う。対象の組織体（企業や行政機関など）が情報システムに関連するリスクを適切にコントロールし，整備・運用しているかをチェックする。監査を受けた組織体は，監査結果を基に，情報システムの安全性，信頼性，効率性，有効性をさらに高め，経営方針や戦略目標の実現に取り組むことができるようになる。

① システム監査の目的

システム監査人の権限と責任等，監査人の倫理，誠実性，専門的能力の保持と向上，正当な注意と秘密の保持，システム監査に対するニーズの把握と品質の確保，監査の独立性と客観性の保持，情報システムの利活用に係る検証・評価

経済産業省が策定した『システム監査基準』に記載されている，システム監査の意義と目的を以下に示す。

システム監査の意義と目的

システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を与える、又は改善のための助言を行う監査の一類型である。

また、システム監査は、情報システムにまつわるリスク（以下「情報システムリスク」という。）に適切に対処しているかどうかを、独立かつ専門的な立場のシステム監査人が点検・評価・検証することを通じて、組織体の経営活動と業務活動の効果的かつ効率的な遂行、さらにはそれらの変革を支援し、組織体の目標達成に寄与すること、又は利害関係者に対する説明責任を果たすことを目的とする。

『システム監査基準』，経済産業省，平成30年4月20日

システム監査人の権限と責任等

システム監査の実施に際しては、その目的及び対象範囲、並びにシステム監査人の権限と責任が、文書化された規程等又は契約書等により明確に定められていなければならない。

経済産業省が公表しているシステム監査基準では、システム監査人の独立性、客観性と職業倫理について3つの項目を定めている。

外観上の独立性: システム監査人は、システム監査を客観的に実施するために、監査対象から独立していなければならない。監査の目的によっては、被監査主体と身分上、密接な利害関係を有することがあってはならない。
精神上の独立性: システム監査人は、システム監査の実施に当たり、偏向を排し、常に公正かつ客観的に監査判断を行わなければならない。
職業倫理と誠実性: システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない。

つまり、監査人は公正な監査を行うために監査対象の情報システムについて関わりがない第三者の立場であることが求められる。

監査能力の保持と向上

システム監査の品質を高め、組織体の状況や IT 環境の変化等に対応して、効果的なシステム監査を実施するために、システム監査人は、適切な研修と実務経験を通じて、システム監査の実施に必要な知識・技能の保持及び向上に努めなければならない。

システム監査に対するニーズの把握と品質の確保

システム監査の実施に際し、システム監査に対するニーズを十分に把握したうえでシステム監査業務を行い、システム監査の品質が確保されるための体制を整備しなければならない。

② システム監査の流れ

リスクの評価に基づく監査計画の策定（リスクアプローチ），監査証拠の入手と評価，監査調書の作成と保管，監査の結論の形成，監査報告書の作成と報告，改善提案のフォローアップ

監査報告書の作成と提出

システム監査人が監査報告書に記載する改善勧告は，調査結果に事実誤認がないことを被監査部門に確認した上で，監査人が改善の必要があると判断した事項を記載する。

改善提案のフォローアップ

システム監査人は、監査結果に改善提案を記載した場合は、その提案に基づいて所要の措置が講じられているかどうかを確認し、改善状況をモニタリングしなければならない。このシステム監査人のシステム監査後の役割を「フォローアップ」という。

フォローアップは、監査対象部門の責任において実施される改善をシステム監査人が事後的に確認するという性質のものであり、監査人は、改善の実施そのものに責任をもつことはない。改善計画の策定及びその実行への関与は、監査人の独立性と客観性を損なうことに留意しなければならない。

(3) システム監査の対象業務

企画プロセスの妥当性，開発・運用・保守プロセスの信頼性・効率性，リスク，コントロール，準拠性，適時性，情報セキュリティ，内部監査規程，システム監査委託契約書

内部監査規程

企業において整備したシステム監査規程の最終的な承認者は，経営者である。

演習問題

アジャイル開発を対象とした監査の着眼点として，システム管理基準（平成 30 年）に照らして，適切なものはどれか。

ウォータフォール型開発のように，要件定義，設計，プログラミングなどの工程ごとの完了基準に沿って，開発作業を逐次的に進めていること
業務システムの開発チームが，情報システム部門の要員だけで構成されていること
業務システムの開発チームは，実装された機能について利害関係者へのデモンストレーションを実施し，参加者からフィードバックを得ていること
全ての開発作業が完了した後に，本番環境へのリリース計画を策定していること

（出典）令和3年秋期応用情報技術者試験午前問58

正解は，3. である。アジャイル開発では状況に柔軟に対応するため，利害関係者にとっては，情報システムの現状が判りにくくなる。プロダクトオーナー及び開発チームは，顧客や利用者を含む利害関係者へのデモンストレーションを実施することでプロジェクトの成果を伝え，次のイテレーションに向けたフィードバックを得る必要がある。

(4) システム監査計画の策定

中長期計画，年度計画，個別計画

システム監査人は，実施するシステム監査の目的を有効かつ効率的に達成するために，監査手続の内容，時期及び範囲などについて適切な監査計画を立案する。監査計画は，事情に応じて修正できるよう，弾力的に運用する。

リスクの評価に基づく監査計画の策定

システム監査人は、システム監査を行う場合、情報システムリスク、及びシステム監査業務の実施に係るリスクを考慮するリスクアプローチに基づいて、監査計画を策定し、監査を実施しなければならない。

(5) システム監査の実施（予備調査，本調査，評価，結論）

① 予備調査，本調査，結論

監査手続とは、システム監査人が十分かつ適切な監査証拠を入手するための手続のことをいい、予備調査と本調査に分けて実施される。監査手続で入手した監査証拠は、システム監査報告書に記載する事項の裏付けとなる。

予備調査

監査手続は，十分な監査証拠を入手するための手続である。システム監査の調査は，予備調査と本調査の二つに分けて行う。予備調査では，正確なシステム監査を実施するために，管理者へのヒアリングや資料の確認などで，監査対象の実態を概略的に調査する。

本調査

予備調査の結果を基に，監査対象の実態を調査する。システム監査人は適切かつ慎重に監査手続を実施し，監査結果を裏付けるのに十分かつ適切な監査証拠を入手する。

監査手続としては，ヒアリング，現場調査，資料の入手，内容確認，質問票やアンケートなどがよく使われる。

評価・結論

監査手続の結果とその関連資料をまとめて監査調書として作成する。監査調書は，監査結果の裏付けとなるため，監査の結論に至った過程が分かるように記録し，保存する。

② 監査手続の適用

チェックリスト法，ドキュメントレビュー法（文書及び記録の収集・閲覧），インタビュー法（質問書・調査票），ウォークスルー法，突合・照合法，現地調査法，統計的サンプリング

チェックリスト法

チェックリスト法とは、システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリスト（通例、チェックリスト形式の質問書）に対して、関係者から回答を求める技法である。

表　監査のチェックポイントの例
視点	監査したいこと	チェックポイントの例
安全性	システムが不正な使用から保護されているか	アクセス管理機能が適切に設計および運用されていること
信頼性正確性	スプレッドシートの処理ロジックの正確性に関わる対応が行えているか	スプレッドシートのプログラムの内容が文書化され検証されていること
信頼性正確性	ソフトウェアのパッチ適用において，システムに不具合が発生するリスクの低減が行えているか	本稼働前にシステムの動作確認を十分に実施していること
機密性	システムのドキュメントが漏えい・改ざん・不正使用されるリスクに対する対応が行えているか	機密性を確保するための対策（暗号化やアクセス制御，鍵付き書庫への格納など）を講じていること
	バージョン管理システムにおいて，ソースコードの機密性が確保されているか	バージョン管理システムのアクセスコントロールの設定が適切であること
	機密性が高い情報を電子データで送る場合に，情報漏えい防止への対応ができているか	当該情報を記載した添付ファイルにパスワードを設定して，取引先に電子メールを送り，電子メールとは別の手段でパスワードを伝えていること
	経済産業省の「営業秘密管理指針」に基づく営業秘密データの管理状況における秘密管理性のコントロールができているか	当該データの記憶媒体に秘密を意味する表示をしていること
可用性	情報セキュリティにおける可用性の確認	中断時間を定めた SLA の水準が保たれるように管理されていること
可用性	マスタファイル管理に関する可用性の確認	マスタファイルが置かれているサーバを二重化し，耐障害性の向上を図っていること
適切性必要性	ソフトウェア資産管理が適切に行われているか	ソフトウェアのライセンス証書などのエビデンス（証拠）が保管されていること
適切性必要性	事業継続計画（BCP）が適切であるか	従業員の緊急連絡先リストを作成し，最新版に更新していること
その他	システム設計の段階で，利用者要件の充足されないリスクの低減が行えているか	利用部門が参画して，システム設計書のレビューを行っていること

ドキュメントレビュー法（文書及び記録の収集・閲覧）

監査対象の状況に関する監査証拠を入手するために，システム監査人が，関連する資料及び文書類を入手し，内容を点検する。

インタビュー法（質問書・調査票）

監査対象の実態を確かめるために，システム監査人が，直接，関係者に口頭で問い合わせ，回答を入手する。

ウォークスルー法

データの生成から入力，処理，出力，活用までのプロセス，及び組み込まれているコントロールを，システム監査人が，書面上で，又は実際に追跡する。

突合・照合法

プルーフリストは、入力データを加工せずにそのままプリントアウトしたもので、このプルーフリストと受注伝票を照合することで、入力データの完全性および一意性が確認できる。監査においてはこの照合が確実に実施されているかを確認するために照合印をチェックすることがポイントになる。

現地調査法

現地調査法とは、システム監査人が、被監査部門等に直接赴き、対象業務の流れ等の状況を、自ら観察・調査する技法である。

統計的サンプリング

監査サンプリングは、監査人が監査対象となった母集団全体に関する結論を導き出すための合理的な基礎を得るため、母集団内のすべてのサンプリング単位に抽出の機会が与えられるような方法で、母集団内の 100 % 未満の項目に監査手続を適用することをいう。

許容逸脱率: 受け入れることができる所定の内部統制からの逸脱率であり，監査人がサンプルの件数を決めるときに用いられる指標である。

③ コンピュータ支援監査技法（CAAT）

監査ソフトウェア，データサンプリング，データ分析，テストデータ法，監査モジュール法，ペネトレーションテスト法

監査モジュール法

監査対象のプログラムに監査用のモジュールを組み込んで，プログラム実行時の監査データを抽出する。

ペネトレーションテスト法

ペネトレーションテスト（侵入テスト）は、ネットワークに接続されているシステムに対して、実際に様々な方法で侵入を試みることで脆弱性の有無を検査するテストである。

システム監査で機密性を検証する際にペネトレーションテストを実施することで、ネットワークに適切なアクセス制御が施され、権限をもたないものがアクセスできないようになっているかどうかを確認できる。

④ 監査証拠の入手と評価

インシデント報告書，進捗管理資料，運用・保守の記録，アクセスログ，トランザクションログ，監査証跡，監査証拠

監査証跡

情報システムの監査では，処理の内容やプロセスを時系列に沿って保存したデータ（ログファイル）が必要になる。これを監査証跡という。システム監査人は，監査証跡の内容に沿って，情報システムに信頼性や安全性，可用性があることを実証する。

監査証拠

報告書で記載するシステム監査人の監査意見を立証するために必要な証拠資料も必要となり，これを監査証拠という。監査証拠として次のようなものが挙げられる。

システム監査人が検証した動作の結果
システムの運用記録
ヒアリングによる証言

ディジタルフォレンジックス

証拠を収集し保全する技法である。捜査記録などのログを取得し，それが改ざんされないように保護する。情報セキュリティインシデントの調査にも利用される。

演習問題

業務データのバックアップが自動取得されている場合，日次バックアップデータが継続的に取得されているかどうかをシステム監査人が検証する手続として，適切なものはどれか。

バックアップジョブの再実施
バックアップジョブの設定内容及びジョブの実行結果ログの閲覧
バックアップデータからのリカバリテストの実施
バックアップ媒体やバックアップ装置の観察

（出典）平成27年春期応用情報技術者試験午前問58

正解は，2. である。

⑤ 監査調書の作成と保管

システム監査人は、監査の結論に至った過程を明らかにし、監査の結論を支える合理的な根拠とするために、監査調書を作成し、適切に保管しなければならない。

監査調書の記載事項は、システム監査の目的等によって一様ではないが、システム監査においては、通常、以下の事項を含む。

監査実施者及び実施日時
監査の目的
実施した監査手続
入手した監査証拠
システム監査人が発見した事実（事象、原因、影響範囲等）及び発見事実に関するシステム監査人の所見
監査調書のレビューが行われた場合には、レビューアの氏名及びレビュー日

⑥ 他の監査との連携・調整

法定監査，任意監査，金融商品取引法監査，会社法監査，経営監査，業務監査，会計監査，内部監査，外部監査，内部監査基準，専門職的実施の国際フレームワーク（IPPF）

(6) システム監査の報告とフォローアップ

システム監査報告書，指摘事項，保証を目的としたシステム監査，助言を目的としたシステム監査，改善提案，改善計画，フォローアップ，フォローアップ報告書

監査報告書の作成と提出

システム監査人は、監査の目的に応じた適切な形式の監査報告書を作成し、遅滞なく監査の依頼者に提出しなければならない。システム監査人は、監査報告書の記載事項について、その責任を負わなければならない。

改善提案のフォローアップ

システム監査人は、監査報告書に改善提案を記載した場合、適切な措置が、適時に講じられているかどうかを確認するために、改善計画及びその実施状況に関する情報を収集し、改善状況をモニタリングしなければならない。

(7) システム監査の体制整備

システム監査人の権限と責任などの明確化，専門的能力の保持と向上，正当な注意と秘密の保持，システム監査に対するニーズの把握と品質の確保，監査の独立性と客観性の保持

システム監査を行う人をシステム監査人という。システム監査人の要件で最も大切なものは独立性である。内部監査の場合でも，システム監査は社内の独立した部署で行われる。システム監査人は監査対象から独立していなければならない。身分上独立している外観上の独立性だけでなく，公正かつ客観的に監査判断ができるよう精神上の独立性も求められる。

また，システム監査人は，職業倫理と誠実性，そして専門能力をもって職務を実施する必要がある。

(8) その他のシステム関連の監査

① 情報セキュリティ監査

情報セキュリティ監査基準，情報セキュリティ管理基準，クラウド情報セキュリティ管理基準

情報セキュリティに関する監査を行うためには，システム監査と同様に監査を実施し，評価・フォローアップを行う。さらに，情報セキュリティ特有の監査として，JIS Q 27001 や JIS Q 27002 などの情報セキュリティマネジメントの基準を基に，監査項目を定めていく。

情報セキュリティ監査を行うにあたって利用する主な基準には，次のものがある。

情報セキュリティ監査基準

情報セキュリティ監査人のための行動規範である。システム監査基準の情報セキュリティバージョンといえる。情報資産を保護し，情報セキュリティのリスクマネジメントが効果的に実施されるように，情報セキュリティ監査人が独立かつ専門的な立場から憲章や評価を行う。

また，場合によっては他の専門家の支援を仰ぐことも定義されており，適切な監査体制を築いて，情報セキュリティ監査人の責任で監査を行う。

情報セキュリティ管理基準

情報セキュリティ監査基準に従って監査を行う場合に，監査人が判断の尺度として用いる基準である。平成28年度改訂版は JIS Q 27001 と JIS Q 27002 を基に策定されており，情報セキュリティマネジメント体制の構築と，適切な管理策の整備と運用を行うための基準となっている。

そのため，情報セキュリティ管理基準は，マネジメント基準と管理策基準から構成されており，情報セキュリティマネジメントの確立から具体的な管理策の整備まで，幅広くカバーしている。

② 個人情報保護監査

個人情報の保護，情報漏えいリスク

③ コンプライアンス監査

行動指針，職務分掌，倫理，透明性

④ マネジメントシステム監査

JIS Q 19011（マネジメントシステム監査のための指針）

JIS Q 19001 : 2019「マネジメントシステム監査のための指針」

適用範囲

この規格は，マネジメントシステム監査のための手引を提供する。これには，監査の原則，監査プログラムのマネジメント，マネジメントシステム監査の実施，並びに監査プロセスに関わる人の力量の評価を含む。これらの活動には，監査プログラムをマネジメントする人，監査員及び監査チームを含む。

この規格は，マネジメントシステムの内部監査若しくは外部監査を計画し，行う必要のある，又は監査プログラムのマネジメントを行う必要のある全ての組織に適用できる。

この規格を他のタイプの監査に適用することも可能ではあるが，その場合は，必要とされる固有の力量について特別な考慮が必要となる。

監査の原則

監査は幾つかの原則に準拠しているという特徴がある。これらの原則は，組織がそのパフォーマンス改善のために行動できる情報を監査が提供することによって，マネジメントの方針及び管理業務を支援する有効な，かつ，信頼のおけるツールとなるのを支援することが望ましい。適切で，かつ，十分な監査結論を導き出すため，そして，互いに独立して監査を行ったとしても同じような状況に置かれれば，どの監査員も同じような結論に達することができるようにするためには，これらの原則の順守は，必須条件である。

高潔さ：専門家であることの基礎
公正な報告：ありのままに，かつ，正確に報告する義務
専門家としての正当な注意：監査の際の広範な注意及び判断
機密保持：情報のセキュリティ
独立性：監査の公平性及び監査結論の客観性の基礎
証拠に基づくアプローチ：体系的な監査プロセスにおいて，信頼性及び再現性のある監査結論に到達するための合理的な方法
リスクに基づくアプローチ：リスク及び機会を考慮する監査アプローチ

(9) 情報システムに関係する監査関連法規

① システム監査基準・システム管理基準

監査人の倫理，システム監査上の判断尺度，監査の独立性と客観性の保持，正当な注意と秘密の保持

システム監査を有効的・効率的に実施し，また一定の品質を維持するための基準となるのが，経済産業省が策定したシステム監査基準である。システム監査基準には，情報システムの評価を行うシステム監査人に関する基準，監査の計画と実施に関する基準，監査の報告に関する基準が示されている。

システム監査基準における，組織体がシステム監査を実施する目的は，情報システムにまつわるリスクに対するコントロールの整備・運用状況を評価し，改善につなげることによって，IT ガバナンスの実現に寄与することである。

システム監査人としての独立性と客観性の保持

システム監査人は、監査対象の領域又は活動から、独立かつ客観的な立場で監査が実施されているという外観に十分に配慮しなければならない。また、システム監査人は、監査の実施に当たり、客観的な視点から公正な判断を行わなければならない。

経営者が社内のシステム監査人の外観上の独立性を担保するために講じる措置として，システム監査人の所属部署を内部監査部門とする。

慎重な姿勢と倫理の保持

システム監査人は、システム監査業務の計画、実施、及び結果の報告において、システム監査の専門家としての慎重な姿勢で臨むとともに、倫理観を保持し、誠実に業務を実施しなければならない。

② 情報セキュリティ関連法規

刑法（電磁的記録不正作出及び供用，電子計算機損壊等業務妨害，電子計算機使用詐欺），不正アクセス行為の禁止等に関する法律，電子計算機を使用して作成する国税関係帳簿書類の保存方法等の特例に関する法律，電子署名及び認証業務に関する法律，JIS Q 27001，ISMS 適合性評価制度

③ 個人情報関連法規

個人情報保護法，マイナンバー法（行政手続における特定の個人を識別するための番号の利用等に関する法律），特定個人情報の適正な取扱いに関するガイドライン，JIS Q 15001，プライバシーマーク制度

個人情報保護に関する法律や，プライバシーマーク制度で使われる JIS Q 15001 のガイドラインは，個人情報保護に関する監査に利用される。

④ 知的財産権関連法規

著作権法，特許法，不正競争防止法，営業秘密管理指針

システム監査では利害侵害行為を指摘する必要があるため，著作権法，特許法，不正競争防止法などの知的財産権に関する法律を参考にする。

⑤ 労働関連法規

労働基準法，労働者派遣法，男女雇用機会均等法

システム監査では法律に照らして労働環境における問題点を指摘する必要があるので，労働基準法，労働者派遣法，男女雇用機会均等法などの労働に関する法律を参考にする。

⑥ 法定監査関連法規

金融商品取引法，会社法

システム監査は，会計監査などの法定監査との連携を図りながら実施する必要があるため，株式会社の監査等に関する商法の特例に関する法律や金融商品取引法，商法などの法定監査に関わる法律も参考にする。

金融商品取引法

金融商品取引法の目的は，以下の通り。

金融商品取引法第一条目的

この法律は、企業内容等の開示の制度を整備するとともに、金融商品取引業を行う者に関し必要な事項を定め、金融商品取引所の適切な運営を確保すること等により、有価証券の発行及び金融商品等の取引等を公正にし、有価証券の流通を円滑にするほか、資本市場の機能の十全な発揮による金融商品等の公正な価格形成等を図り、もつて国民経済の健全な発展及び投資者の保護に資することを目的とする。

会社法

会社法の趣旨は，以下の通り。

会社法第一条趣旨

会社の設立、組織、運営及び管理については、他の法律に特別の定めがある場合を除くほか、この法律の定めるところによる。

内部統制

企業などにおける内部統制，IT ガバナンスの目的，考え方を修得し，適用する。

(1) 内部統制

内部統制の限界，内部統制報告制度，財務報告に係る内部統制の評価及び監査の基準，内部統制の基本的要素（統制環境，リスクの評価と対応，統制活動，情報と伝達，モニタリング，IT への対応），IT への対応（IT 環境への対応，IT の利用，IT に係る全般統制，IT に係る業務処理統制），システム管理基準追補版（財務報告に係るIT 統制ガイダンス），全社的な内部統制，業務プロセスの明確化，職務分掌，実施ルールの設定，チェック体制の確立，コンプライアンス，COSO（Committee of Sponsoring Organizations of the Treadway Commission）フレームワーク，ERM（全社的リスクマネジメント）

内部統制は、企業の健全な経営を実現するために、その組織の内部において適用されるルールや業務プロセスを整備し運用すること、またはその結果確立されたシステムをいう。業務を 1 人または 1 つの部門に任せてしまうと、不正な処理が行われたりミスをしたときに迅速な対応がとれなかったりする。内部統制ではこれを防止するため互いの仕事をチェックし合うように、複数の人、部門で業務を分担する職務分掌を明確にし、業務プロセスに組み込むことが求められる。

例えば，データ入力における不正行為やミスに対する予防統制と発見統制には，次のような対策がある。

表　予防統制と発見統制
統制	対策
予防統制	データ入力画面と入力ミスの発生が少なくなるように設計するデータ入力担当者を限定して不正行為を牽制する
発見統制	データ入力結果の出力リストと入力原票の照合をルール化する

予防的コントロール: 処理や作業の誤りを未然に防ぐ管理手順
発見的コントロール: 処理や作業の誤りを検知するための管理手順

日本では，金融庁の企業会計審議会・内部統制部会が「財務報告に係る内部統制の評価及び監査に関する実施基準」を制定し，日本における内部統制の実務の基本的な枠組みを定めている。この基準によると，内部統制の意義は次の四つの目的を達成することである。

業務の有効性及び効率性
事業活動の目的の達成のため，業務の有効性及び効率性を高めること
財務報告の信頼性
財務諸表及び財務諸表に重要な影響を及ぼす可能性のある情報の信頼性を確保すること
事業活動に関わる法令等の遵守
事業活動に関わる法令その他の規範の遵守を促進すること
資産の保全
資産の取得，使用及び処分が正当な手続及び承認のもとにおこなわれるよう，資産の保全を図ること

そして，内部統制の目的を達成するために，次の六つの基本的要素が定められている。

統制環境
組織の気風を決定する倫理観や経営者の姿勢，経営戦略など，他の基本的要素に影響を及ぼす基盤
リスクの評価と対応
リスクを洗い出し，評価し，対応する一連のプロセス
統制活動
経営者の命令や支持が適切に実行されることを確保するための要素
職務の分掌や相互牽制（職務の分離）の方針や手続が含まれる
情報と伝達
必要な情報が識別，把握，処理され，組織内外の関係者に正しく伝えられることを確保するための要素
モニタリング
内部統制が有効に機能していることを継続的に評価するプロセス
IT への対応
組織の目標を達成するために適切な方針や手続を定め，それを踏まえて組織の内外の IT に適切な対応をすること

IT 全般統制

内部統制の有効性を判断する際，IT に係る全般統制に不備がある場合には「代替的統制」または「補完的統制」により，内部統制の目的が達成されているかを検討する必要がある。

代替的統制: 不備がある内部統制と同等の効力をもつ別のコントロール
補完的統制: 不備がある内部統制を補うためのコントロール

COSO（Committee of Sponsoring Organizations of the Treadway Commission）フレームワーク

内部統制のフレームワークの世界標準は，米国のトレッドウェイ委員会組織委員会（COSO : the Commitee of Sponsoring Organization of the Treadway Commission）が公表した COSO フレームワークである。

(2) IT ガバナンス

JIS Q 38500，CIO（Chief Information Officer：最高情報責任者），CISO（Chief Information Security Officer：最高情報セキュリティ責任者），IT 統制，データガバナンス，コーポレートガバナンス，COBIT，PRM-IT（Process Reference Model for IT），成熟度モデル

IT ガバナンスとは，企業などが競争力を高めることを目的として情報システム戦略を策定し，実行戦略を統制する仕組みを確立するための組織的な仕組みである。より一般的なコーポレートガバナンス（企業統治）は，企業価値を最大化し，企業理念を実現するために企業の経営を監視し，規律する仕組みである。そのための手段として，内部統制やコンプライアンス（法令遵守）が実施される。

COBIT (Control Objectives for Information and related Technology)

IT ガバナンスのベストプラクティス集（フレームワーク）には COBIT（Control Objectives for Information and related Technology）がある。

成熟度モデル

COBIT では，IT 管理プロセスがどれだけ適切に定義され，運営されているかを測定する手段として，6 段階からなる成熟度モデルが定義されている。組織に足りない部分があるとしたら，それはどこの問題か，どのような対策が必要か，といった事項を客観的に理解することができる。

表　COBIT の成熟度モデル
Lv.	成熟度	説明
0	存在しない	認識可能なプロセスが存在していない。対処すべき問題の存在が認識されたことがない。
1	初期	問題の存在と対処の必要性は認識されているが，標準化されたプロセスはなく，事例ごとに場当たり的な手法が用いられる傾向にある。
2	反復可能	同じ仕事を別の人が行っても，同様の手順で行われる程度のプロセスは存在する。しかし，標準化された手順を訓練及び伝達する正式な方法がないため，誤りが生じやすい。
3	定義済み	手順が標準化および文書化され，トレーニングを通じて伝達されている。しかし，標準化された手順に従うかどうかは個々の人員に負かされており，定義されたとおりでないことが発生しても発見しにくい。
4	管理可能	手順の順守度を監視および計測することができ，プロセスの有効性が疑われる場合には対策をとることができる。プロセスは常に改良が加えられ，良好なプロセスへとつながる。自動化および各種管理ツールは部分的に使用されている。
5	最適化	継続して改良を行い，他部門と連携して成熟モデルを適用してきた結果として，プロセスは十分に練られており，ベストプラクティスの域に達している。IT 部門は統合的に活用されてワークフローの自動化を実現し，品質と有効性を向上させるツールを提供しているので，適応性は高い。

(3) 法令遵守状況の評価・改善

会社法，金融商品取引法，コンプライアンス監査，CSA（Control Self Assessment：統制自己評価）

内部統制では，自社内外の行動規範の遵守状況を継続的に評価することが大切である。内部統制の有効性について，業務運営の中で業務を運営している人自身が，その有効性について評価を行う CSA（Control Self Assessment : 統制自己評価）という手法がある。CSA を行うことで，管理部門としては評価の負荷軽減となる。また，業務を行う人自身も，どのようなリスクがあるか，どのように対応すべきかなどについて自分のこととして考えることができる。

応用情報技術者午後問題のテーマ

平成21年度春期以降の応用情報技術者午後問題のテーマを示す。

令和5年度秋期問11 情報システムに係るコンティンジェンシー計画の実効性の監査
令和5年度春期問11 工場在庫管理システムの監査
令和4年度秋期問11 テレワーク環境の監査
令和4年度春期問11 販売物流システムの監査
令和3年度秋期問11 システム構築プロジェクトの監査
令和3年度春期問11 新会計システムのシステム監査
令和2年度問11 販売システムの監査
令和元年度秋期問11 購買業務のシステム監査
平成31年度春期問11 RPA (Robotic Process Automation) の監査
平成30年度秋期問11 ERP ソフトウェアパッケージを採用した基幹システムの運用・保守管理体制の監査
平成30年度春期問11 システム更改プロジェクトの監査
平成29年度秋期問11 受発注業務に関わる情報システムの監査
平成29年度春期問11 新会計システム導入に関する監査
平成28年度秋期問11 ID 管理の監査
平成28年度春期問11 業績管理システムの監査
平成27年度秋期問11 コンピュータウイルス対策の監査
平成27年度春期問11 財務会計システムの運用の監査
平成26年度秋期問11 受注・売上計上プロセスに関連するシステムの監査
平成26年度春期問11 プロジェクト管理の監査
平成25年度秋期問11 ソフトウェア保守の監査
平成25年度春期問12 障害管理のシステム監査
平成24年度秋期問12 個人情報保護監査
平成24年度春期問12 情報化投資における意思決定プロセスの妥当性監査
平成23年度秋期問12 購買業務の監査
平成23年度春期問12 表計算ソフトの利用についてのシステム監査
平成22年度秋期問12 システムテストの監査
平成22年度春期問12 外部委託管理の監査
平成21年度秋期問12 内部統制の整備状況の評価
平成21年度春期問12 DB 監査ツールを利用したシステム監査

本稿の参考文献

経済産業省，『システム監査基準』，平成30年4月20日
『財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の設定について（意見書）』，平成19年2月15日，企業会計審議会
情報セキュリティ管理基準（平成20年改正版）
情報セキュリティ監査基準実施基準ガイドライン（Ver 1.0）
ロブ・ファイヌマン，カイ・ハン・ホー，エードー・ローズ・リンデグレーン，ピート・ベルトマン著，「グローバル実務がわかる IT 監査の基礎と応用」，中央経済社，2010年11月30日

システム監査

目次