「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- サービス・マネジメントのシステム監査
- システム監査の雰囲気を理解する。
システム監査 †
JIS Q 19011:2012 †
- マネジメントシステム監査のための指針
- マネジメントシステム監査のための手引を提供。
- 適用範囲
- 引用規格
- 用語及び定義
- 監査の原則
- 監査プログラムの管理
- 一般
- 監査プログラムの目的の設定
- 監査プログラムの策定
- 監査プログラムの実施
- 監査プログラムの監視
- 監査プログラムのレビュー及び改善
- 監査の実施
- 一般
- 監査の開始
- 監査活動の準備
- 監査活動の実施
- 監査報告書の作成及び配付
- 監査の完了
- 監査のフォローアップの実施
- 監査員の力量及び評価
- 一般
- 監査プログラムのニーズを満たす監査員の力量の決定
- 監査員の評価基準の設定
- 監査員の適切な評価方法の選定
- 監査員の評価の実施
- 監査員の力量の維持及び向上
- 附属書 A(参考)分野に固有の監査員の知識及び技能に関する手引及び例
- 附属書 B(参考)監査を計画及び実施する監査員に対する追加の手引
- 参考文献
監査とは? †
監査基準が満たされている程度を判定するための、
監査証拠を収集し、それを客観的に評価するための、
体系的で独立し、文書化されたプロセス。
監査の種類 †
監査の種類
監査の責任 †
システム監査人 †
監査報告書に記載した監査意見に関して責任を負う。
システム管理部門 †
監査対象のシステムの管理に関して責任を負う。
組織の代表者 †
- 監査結果の外部への開示に関して責任を負う
開示の是非については、システム監査人と慎重に検討。
監査の原則 †
監査プログラムの管理 †
監査手続 †
具体的な監査手順や監査技法を設定する。
監査手順 †
システム監査基準における監査の手順
実施準備 → 予備調査 → 本調査 → 評価・結論 → フォローアップ
- 実施準備
個別計画の内容を再確認し、関係者に協力要請する等、
システム監査が円滑に実施できるように準備する。
- 予備調
- 被監査部門の管理者・担当のリスク認識などの現状や問題点をアンケート調査
- 予備調査後、取集された情報を元に、本調査の監査手続(監査手順・技法)を計画。
- 本調査
監査手順書に従って監査対象システムの現状や問題点を確認、
それらの証拠を収集・評価して監査調書にまとめる。
- 被監査部門の担当に対して、
監査手順に従てヒアリングし、
監査対象の実態を調査する。
- 以下から指摘事項をまとめる。
- 監査対象に関する手順書、実施記録
- 被監査部門から入手した監査証拠
- 評価・結論
- 監査結果を評価し、監査報告書にまとめる。
- 監査結果をトップマネジメントに報告する。
- フォローアップ
監査報告を受けた被監査部門の
実施(改善・是正処置)内容の
妥当性や有効性を確認し、必用なら助言をする。
- 被監査部門から説明を受けながら
被監査部門の業務の現場を実際に見て
改善提案の実現可能性を確かめる。
監査技法 †
下記の様な各種の監査技術の組合せ。
- 統計的サンプリング
- 無作為抽出と確率論を持ちい、母集団の関する結論を導き出す。
- サンプリング・リスク、誤謬率(許容誤謬率・予想誤謬率)からサンプル数を決める。
- サンプリング・リスク
- 抽出したサンプルが母集団の特性を正確に反映していない。
- これにより、母集団に対する誤った結論を導くリスク。
- 誤謬率 : 内部統制からの逸脱率
- 許容誤謬率 : 許容される誤謬率
- 予想誤謬率 : 予想される誤謬率
- 汎用監査ソフトウェア法
監査対象のファイルやデータを抽出する支援ソフトウェアを利用
- 組み込み監査モジュール法
監査データを取得できるモジュールを埋め込んでおき、
稼働中のシステムからデータを抽出する。
- テストデータ法
テストデータを投入し、期待した結果が帰るかを確認。
- ITF (Integrated Test Facility) 法
監査人のアカウントを追加して、オンライン処理し、正当性を確認。
- 並行シミュレーション法
デュアルシステム的に結果を比較。
- トレーシング法
トランザクションの処理過程を追跡して分析
- コード比較法
開発時のプログラムと稼働時のプログラムを比較する。
監査のチェックポイント †
チェックポイントは、チェックリスト中の確認項目的なものらしい。
- 網羅性のチェックポイント
- 取引がもれなく重複なく記録されているか?
- ≒ 取引に自動的に連番付与しているか?
- 在庫管理システムの例
- 選定基準に従い自動的に購入業者を選定している。
- 適正在庫量の維持のために、発注点に達したときに自動発注している。
- 適正在庫高であることを責任者が承認している。
監査証跡(Audit trail) †
- 入力から出力に至る処理内容を時系列に記録したもの。または、その仕組み。
- 監査証跡は、処理や業務の妥当性を監査する手段として使用される。
監査証拠 †
監査人が取集作成する資料。
- 監査人が監査手続きを実施して取集した資料を監査人の判断に基づいて評価した結果。
- 監査報告書に記載する監査意見や指摘事項は、この資料によって裏付けられていなければならない。
監査リスク †
監査リスク = 固有リスク × 統制リスク × 発見リスク :
- 固定リスク : 内部統制が存在しない場合のリスク評価
(現金は盗難など固定リスクが高い。不動産の場合は盗難され難いので固定リスクが低い)
- 統制リスク : 重要な虚偽表示が、企業の内部統制によって防止されない可能性
- 発見リスク : 虚偽表示が監査人が監査を実施しても発見されないリスク。
期間計画書と個別計画書 †
- 計画のコンテンツ
一定の期間内に実施しようとするシステム監査の
- 方針
- 目的
- 日程
- 重点目標(テーマ)
- 監査対象システム
- 日程毎に分けて策定する。
- 基本計画
当該年度を対象とする。
- 中長期計画
3-5年度を対象とする。
- 計画のコンテンツ
監査対象システム毎の具体的な実行計画、詳細な実施
- 目的
- 範囲
- 監査手続
監査手順、監査技法
- 監査日程
本調査だけでなく、予備調査と評価・報告(報告会・フォローアップ)も含める。
- 担当者
外部委託管理の監査 †
以下の様な監査を行う。
- 請負契約の場合、
- 委託先要員の委託元システムへのアクセス管理
- 委託先で開発され委託元に納品された成果物の品質管理状況
- 委託先が成果物の開発に適切な能力を備えているか?
- 準委任契約の場合、
- 委託元の指揮命令が適切に行われているか。
- ...。
外部委託のシステム監査 †
- 経営破綻などでソフトウェア資産のメンテナンスが
受けられなくなることを防ぐために確認すべき契約項目として、
- 第三者へソースコードを預託するエスクロウ条項がある。
- ライセンサは第三者機関である
エスクロウエージェントにソースコードを預託する。
- ライセンシはライセンサの経営破綻の際に
エスクロウエージェントにソースコード開示を要求する。
クラウドサービス導入検討に対するシステム監査 †
- システム利用時の利便性に関するチェックポイント
社内情報システムとのID連携可否が検討されているか?
- システムの可用性に関するチェックポイント
障害時の最大許容停止時間が検討されているか?
- 情報の盗聴・漏洩の予防に関するチェックポイント
施設内ネットワークに暗号化通信が採用されているか?
- 情報の消失の予防に関するチェックポイント
事業者が信頼がおけ、且つサービスの継続提供が検討されているか?
SaaSへのアクセス・コントロール評価 †
- 利用できるのは「アプリケーションの利用者ID」のみ。
- 以下は、評価対象にならない
- サーバーOSへのログイン・アカウント
- RDBMSの管理者アカウント
- ストレージ(・デバイス?)の管理者アカウント
監査の実施 †
監査員の力量及び評価 †
内部統制 †
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
