高度午前 - サービス・マネジメント - システム監査

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

サービス・マネジメントのシステム監査（高度：午前Ⅰ、午前Ⅱ）

システム監査 †

JIS Q 19011:2012 †

• マネジメントシステム監査のための指針
• マネジメントシステム監査のための手引を提供。
  • 適用範囲
  • 引用規格
  • 用語及び定義
  • 監査の原則
  • 監査プログラムの管理
    • 一般
    • 監査プログラムの目的の設定
    • 監査プログラムの策定
    • 監査プログラムの実施
    • 監査プログラムの監視
    • 監査プログラムのレビュー及び改善
  • 監査の実施
    • 一般
    • 監査の開始
    • 監査活動の準備
    • 監査活動の実施
    • 監査報告書の作成及び配付
    • 監査の完了
    • 監査のフォローアップの実施
  • 監査員の力量及び評価
    • 一般
    • 監査プログラムのニーズを満たす監査員の力量の決定
    • 監査員の評価基準の設定
    • 監査員の適切な評価方法の選定
    • 監査員の評価の実施
    • 監査員の力量の維持及び向上
  • 附属書 A（参考）分野に固有の監査員の知識及び技能に関する手引及び例
  • 附属書 B（参考）監査を計画及び実施する監査員に対する追加の手引
  • 参考文献

監査とは？ †

監査基準が満たされている程度を判定するための、
監査証拠を収集し、それを客観的に評価するための、
体系的で独立し、文書化されたプロセス。

監査の種類 †

監査の種類

• 内部監査
  • 第一者監査
    内部監査人が行う監査

• 外部監査
  • 第二者監査
    利害関係のある第二者による監査
    • 親会社 → 子会社

• 第三者監査
  利害関係のない第三者による監査
  • 監査法人
  • 審査機関

用語及び定義 †

プロセス †

• 監査（audit）
  監査基準が満たされている程度を判定するために，
  監査証拠を収集し，それを客観的に評価するための
  体系的で，独立し，文書化されたプロセス。

• 監査基準（audit criteria）
  監査証拠と比較する基準として用いる一連の方針，手順又は要求事項。

• 監査証拠（audit evidence）
  監査基準に関連し，かつ，検証できる，記録，事実の記述又はその他の情報。

• 監査所見（audit findings）
  収集された監査証拠を，監査基準に対して評価した結果。

• 監査結論（audit conclusion）
  監査目的及び全ての監査所見を考慮した上での，監査の結論。

役割関連 †

• 監査依頼者（audit client）
  監査を要請する組織又は人。

• 被監査者（auditee）
  監査される組織。

• 監査員（auditor）
  監査を行う人。

• 監査チーム（audit team）
  
  • 監査を行う一人又は複数の監査員。
  • 必要な場合は，技術専門家による支援を受ける。

• 技術専門家（technical expert）
  監査チームに特定の知識又は専門的技術を提供する人。

• オブザーバ（observer）
  監査チームに同行するが，監査は行わない人。

• 案内役（guide）
  監査チームを手助けするために，被監査者によって指名された人。

計画関連 †

• 監査プログラム（audit programme）
  特定の目的に向けた，決められた期間内で実行するように計画された一連の監査の取決め。

• 監査範囲（audit scope）
  監査の及ぶ領域及び境界。

• 監査計画（audit plan）
  監査のための活動及び手配事項を示すもの。

その他 †

• リスク（risk）
  目的に対する不確かさの影響。

• 力量（competence）
  意図した結果を達成するために，知識及び技能を適用する能力。

• 適合（conformity）
  要求事項を満たしていること。

• 不適合（nonconformity）
  要求事項を満たしていないこと。

• マネジメントシステム（management system）
  方針及び目標を定め，その目標を達成するためのシステム。

監査の原則 †

高潔さ †

専門家であることの基礎

公正な報告 †

ありのままに，かつ，正確に報告する義務

専門家としての正当な注意 †

監査の際の広範な注意及び判断

機密保持 †

情報のセキュリティ

独立性 †

監査の公平性及び監査結論の客観性の基礎

証拠に基づくアプローチ †

体系的な監査プロセスにおいて，信頼性及び再現性のある監査結論に到達

監査プログラムの管理 †

監査の責任 †

• システム監査人
  監査報告書に記載した監査意見に関して責任を負う。

• システム管理部門
  監査対象のシステムの管理に関して責任を負う。

• 組織の代表者
  • 監査対象のシステムの管理に関して責任を負う。

• 監査報告書で指摘された問題点の改善

• 監査結果の外部への開示に関して責任を負う
  開示の是非については、システム監査人と慎重に検討。

監査手続 †

具体的な監査手順や監査技法を設定する。

監査手順 †

システム監査基準における監査の手順

実施準備 → 予備調査 → 本調査 → 評価・結論 → フォローアップ

• 実施準備
  個別計画の内容を再確認し、関係者に協力要請する等、
  システム監査が円滑に実施できるように準備する。

• 予備調
  • 被監査部門の管理者・担当のリスク認識などの現状や問題点をアンケート調査
  • 予備調査後、取集された情報を元に、本調査の監査手続（監査手順・技法）を計画。

• 本調査
  監査手順書に従って監査対象システムの現状や問題点を確認、
  それらの証拠を収集・評価して監査調書にまとめる。

• 被監査部門の担当に対して、
  監査手順に従てヒアリングし、
  監査対象の実態を調査する。

• 以下から指摘事項をまとめる。
  • 監査対象に関する手順書、実施記録
  • 被監査部門から入手した監査証拠

• 評価・結論
  • 監査結果を評価し、監査報告書にまとめる。
  • 監査結果をトップマネジメントに報告する。

• フォローアップ
  監査報告を受けた被監査部門の
  実施（改善・是正処置）内容の
  妥当性や有効性を確認し、必用なら助言をする。

• 被監査部門から説明を受けながら
  被監査部門の業務の現場を実際に見て
  改善提案の実現可能性を確かめる。

期間計画書と個別計画書 †

• 期間計画(書

• 計画のコンテンツ
  一定の期間内に実施しようとするシステム監査の
  • 方針
  • 目的
  • 日程
  • 重点目標（テーマ）
  • 監査対象システム

• 日程毎に分けて策定する。
  • 基本計画
    当該年度を対象とする。
  • 中長期計画
    ３－５年度を対象とする。

• 個別計画(書

• 計画のコンテンツ
  監査対象システム毎の具体的な実行計画、詳細な実施
  • 目的
  • 範囲
  • 監査手続
    監査手順、監査技法
  • 監査日程
    本調査だけでなく、予備調査と評価・報告（報告会・フォローアップ）も含める。
  • 担当者

監査の実施 †

監査技法 †

下記の様な各種の監査技術の組合せ。

• サンプリング法

• 統計的サンプリング
  • 無作為抽出と確率論を持ちい、母集団の関する結論を導き出す。
  • サンプリング・リスク、誤謬率（許容誤謬率・予想誤謬率）からサンプル数を決める。

• サンプリング・リスク
  • 抽出したサンプルが母集団の特性を正確に反映していない。
  • これにより、母集団に対する誤った結論を導くリスク。

• 誤謬率 : 内部統制からの逸脱率
  • 許容誤謬率 : 許容される誤謬率
  • 予想誤謬率 : 予想される誤謬率

• コンピューターを用いたシステム監査技法

• データの抽出

• 汎用監査ソフトウェア法
  監査対象のファイルやデータを抽出する支援ソフトウェアを利用

• 組み込み監査モジュール法
  監査データを取得できるモジュールを埋め込んでおき、
  稼働中のシステムからデータを抽出する。

• システムのテスト

• テストデータ法
  テストデータを投入し、期待した結果が帰るかを確認。

• オンライン・システムのテスト

• ITF (Integrated Test Facility) 法
  監査人のアカウントを追加して、オンライン処理し、正当性を確認。

• プログラム・ロジックの分析

• 並行シミュレーション法
  デュアルシステム的に結果を比較。

• スナップショット法
  メモリダンプを取得して分析

• トレーシング法
  トランザクションの処理過程を追跡して分析

• プログラム変更の検証

• コード比較法
  開発時のプログラムと稼働時のプログラムを比較する。

• プルーフリスト
  入力データをそのまま出力した一覧

監査のチェックポイント †

チェックポイントは、チェックリスト中の確認項目的なものらしい。

• 網羅性のチェックポイント
  • 取引がもれなく重複なく記録されているか？
  • ≒ 取引に自動的に連番付与しているか？

• 業務的チェックポイント

• 在庫管理システムの例
  • 選定基準に従い自動的に購入業者を選定している。
  • 適正在庫量の維持のために、発注点に達したときに自動発注している。
  • 適正在庫高であることを責任者が承認している。

監査証跡（Audit trail） †

• 入力から出力に至る処理内容を時系列に記録したもの。または、その仕組み。
• 監査証跡は、処理や業務の妥当性を監査する手段として使用される。

監査証拠 †

監査人が取集作成する資料。

• 監査人が監査手続きを実施して取集した資料を監査人の判断に基づいて評価した結果。
• 監査報告書に記載する監査意見や指摘事項は、この資料によって裏付けられていなければならない。

監査リスク †

監査リスク ＝ 固有リスク × 統制リスク × 発見リスク :

• 固定リスク :
  内部統制が存在しない場合のリスク評価
  • 現金は盗難など固定リスクが高い。
  • 不動産の場合は盗難され難いので固定リスクが低い。

• 統制リスク :
  重要な虚偽表示が、企業の内部統制によって防止されない可能性

• 発見リスク :
  虚偽表示が監査人が監査を実施しても発見されないリスク。

外部委託管理の監査 †

以下の様な監査を行う。

• 請負契約の場合、
  • 委託先要員の委託元システムへのアクセス管理
  • 委託先で開発され委託元に納品された成果物の品質管理状況
  • 委託先が成果物の開発に適切な能力を備えているか？
    • 開発能力
    • 機密管理体制

• 準委任契約の場合、
  • 委託元の指揮命令が適切に行われているか。
  • ...。

外部委託のシステム監査 †

• 経営破綻などでソフトウェア資産のメンテナンスが
  受けられなくなることを防ぐために確認すべき契約項目として、

• 第三者へソースコードを預託するエスクロウ条項がある。

• 委託元をライセンシ、委託先をライセンサと言い

• ライセンサは第三者機関である
  エスクロウエージェントにソースコードを預託する。

• ライセンシはライセンサの経営破綻の際に
  エスクロウエージェントにソースコード開示を要求する。

クラウドサービス導入検討に対するシステム監査 †

• システム利用時の利便性に関するチェックポイント
  社内情報システムとのＩＤ連携可否が検討されているか？

• システムの可用性に関するチェックポイント
  障害時の最大許容停止時間が検討されているか？

• 情報の盗聴・漏洩の予防に関するチェックポイント
  施設内ネットワークに暗号化通信が採用されているか？

• 情報の消失の予防に関するチェックポイント
  事業者が信頼がおけ、且つサービスの継続提供が検討されているか？

SaaSへのアクセス・コントロール評価 †

• 利用できるのは「アプリケーションの利用者ID」のみ。

• 以下は、評価対象にならない
  • サーバーOSへのログイン・アカウント
  • RDBMSの管理者アカウント
  • ストレージ（・デバイス？）の管理者アカウント

監査の報告 †

監査の実施のコンテンツ

助言型と保証型 †

• 助言型報告書
  助言型監査で用いられる報告書。

• 監査対象となる組織のマネジメントにおけるコントロールの改善を目的とする。
• ある尺度に照らしたときに、そのあるべき姿との乖離を指摘し、改善の方向性を示す。
• 監査対象の問題点を検出し、必要に応じて当該検出事項に対応した改善提言を行う。

• 保証型報告書
  保証型監査で用いられる報告書。

• 監査の対象となる組織体のマネジメントにおけるコントロールが
  監査手続を実施した限りにおいて適切である旨（または不適切である旨）を伝達する。
• 結果としてインシデントが発生しないという絶対的な保証ではなく、
  合理的な根拠や、一定の判断の基準に従って、監査手続を行った範囲の保証となる。
• 「お墨付き」を得ることを目的とする際は有用。

※ 助言型報告書では保証型報告書と異なり、
監査者、被監査者の責任区別に言及する必要はない。

※ 保証型監査で、合理的な根拠を得られなかった場合、保証意見は表明しない。

改善勧告 †

• 監査者
  • が改善指導を行う。
  • が必要と判断したものを記載。
  • 実現可能性を考慮する。
  • 監査証拠の裏付けが必要。

• 被監査者
  • の承認は不要、
  • の要求は受け付けない。

※ 監査者と被監査者で事実誤認が無いかチェックする。

個人情報取扱事業者に対する指摘事項 †

以下は問題ない

• 人命の保護のために必要な場合
• 法令に基づく調査（例：税法の税務調査）
• データ利用に関して本人の合意が取れている場合

※ the movie事件とかどうなんだろうね。

フォローアップ †

• 助言のみ可能。

• 以下を行う事はできない。
  • 直接的な指示
  • リソース面のサポート
    • 自身の参加
    • 要員の手配

監査員の力量及び評価 †

システム監査基準 †

システム監査に対するニーズの把握と品質の確保 †

• 監査の品質管理
  監査結果の適正性を保証すること（システム監査基準で定められているらしい）。

• 監査の品質
  • 監査報告書における意見表明が正しかったかどうかのみを意味する。

    ※ 監査に関する品質管理基準（日本の公認会計士による財務諸表監査の品質を確保するために設定された基準）より。

システム監査人の独立性と客観性の保持 †

• 内部監査の場合
  監査対象部門から独立している必要がある。
  システム監査人の所属する部門が、監査対象の
  領域又は活動と同一の指揮命令系統に属さない。

• 組織体に内部監査部門が設置されている場合
  当該部門がシステム監査を実施することが望ましい。

• 組織体に内部監査部門が設置されていない場合
  監査対象の領域又は活動に直接従事していない者が実施するか、
  外部の専門事業者への委託によって、外観上の独立性を確保できる。

• システム監査人が、
  監査対象の領域又は業務に従事していた場合、
  原則として、監査の任から外れることが望ましい。

• 外部監査の場合
  監査を担当する者が、委託元組織体と身分上の密接な利害関係を有することは、
  システム監査人の独立性が毀損されているとの外観を呈することに留意する。

• 客観的な立場で公正な判断を行う精神的な態度

• 専門的な知識・技能が不可欠
• 外部からの圧力等を排除しつつ、
• 自らも倫理観の高揚に努める。
• 社会的な視点から見て公正な判断を行うように留意。

慎重な姿勢と倫理の保持 †

• 慎重な姿勢
  誤った監査上の判断や誤解に基づく監査上の判断がないよう、十分な注意を払う。
  • 業務上の注意深さ
  • 監査証拠の十分性、適切性、正確性の精査。
  • 専門的な知識・技能の保持及び向上に努める。

• 職業倫理の遵守
• 守秘義務

内部統制 †

保証業務 †

保証業務の実施者 †

外部監査人

主題に責任を負う者 †

当該企業の経営者

保証報告書の想定利用者 †

★ 主題の利用者

エンドユーザが保証報告書を見るケースは
少なそうだが、一応リリースされているっポイ。

• 例
  • SOC コンプライアンス – アマゾン ウェブ サービス (AWS)
    https://aws.amazon.com/jp/compliance/soc-faqs/
  • Microsoft トラスト センター ホーム
    https://www.microsoft.com/ja-jp/trust-center

職務の分離 †

開発と運用の分離

IT関連 †

全社統制 †

• IT戦略策定、IT組織の役割、品質管理方針の策定などの役割を持つ。
• 「経営者は、ITに関する適切な戦略、計画などを定めているか？」

IT全般統制 †

• IT全般に対して、構築、運営、文書化、評価などを実施する責任を持ち、
  • IT業務処理統制が適正かつ有効に機能するために必要な
  • 組織全体のIT基盤や施策、体制などから成る各種コントロール

• 具体的には、
  システムに関連する法改正などを調査し、
  システム変更要件を定義し承認を得るなど。

業務処理統制 †

アプリケーションによる統制の整備、文書化、評価などの活動を支援する役割を持つ。

IT業務処理統制 †

• 定義としては、
  • 組織の業務プロセスに組み込まれた個々の
    情報システム（アプリケーション・システム）の
  • 処理工程（入力・編集・計算・送信・保存・削除等）において、
  • データの欠落や重複、改ざん等が発生するすることなく、
  • その正当性・正確性・網羅性・一貫性等を
  • 確保するために行う各種コントロール

• 具体的には、
  アプリケーションで、承認された処理が
  全て正確に処理・記録される事を確保する。

• データ入力時に突合せ。
• 登録データと実物の突合せ。
• 出力データを元にした起票処理

※ 全てが自動化されている必要はなく、手作業が混じっていてもイイ。

各種コントロール †

• IT全般統制

• 体制とプロセス
  • IT戦略、システム企画
  • システム設計・開発・運用・保守

• 情報セキュリティ
  • 対策を始めとした各種コントロール
  • ISMS（情報セキュリティ・マネジメント・システム）

• IT業務処理統制

• データ受け渡し

• ランツーラン(Run-To-Run、R2R)・コントロール
  前工程の結果を基に、パフォーマンスの改善を行っていく手法
  （詳細不明だが、プロセス制御などで使われる手法らしい）

• タイムスタンプ機能
  デジタル証明書を使った非改ざんと存在を証明する手法（電子文書）

• コントロール・トータルのチェック
  （会計データの正確性などで）件数や合計が一致していることを確認する手法

• エディット・バリデーションのチェック
  入力データが正当なデータであるかどうかをチェックする手法

• 入力漏れの発見
  プルーフリスト

参考 †

情報セキュリティ監査 †

JIS Q 19011 †

• JIS Q 19011:2012 マネジメントシステム監査のための指針
  https://kikakurui.com/q/Q19011-2012-01.html
• JIS Q 19011:2019 マネジメントシステム監査のための指針
  https://kikakurui.com/q/Q19011-2019-01.html

システム監査基準 - 経済産業省 †

• システム監査基準 - 経済産業省
  https://www.meti.go.jp/policy/netsecurity/downloadfiles/system_kansa_h30.pdf