システム監査:システム監査とは(最終更新:2015/12/06 16:33:44 JST)
システム監査における情報システムのコントロールとは次の事柄が適切に行われるよう統制されていることを表す.
コントロールが正しく機能していることをチェックするのが監査でもある.また組織内で権限委譲が行われている場合,委譲した部分の活動の適切性をチェックするために,コントロールが必要となる.
組織の活動に対するコントロールは,内部統制と外部統制に大別できる.内部統制はさらに,内部牽制制度と内部監査制度に細分できる(教科書50ページ,図1.4参照).
コントロールの実施により得られる機能は以下のものが挙げられる.
システム監査基準の前文で,情報システムのリスクコントロールの目的として次の4つを挙げている.
組織体が 情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。
- 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
- 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
- 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
- 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため
システム監査基準(経済産業省)
このうち,信頼性,安全性,効率性の3つがコントロールの主要な目的として挙げられることが多い(教科書52ページ,図1.5参照).
情報システムの処理の特徴は次のようなものが挙げられる.
また情報システムの処理のデメリットしては次のようなものがある.
システムの信頼性を確保するためのコントロールには次のようなものがある.
安全性の確保のためのコントロールには次のようなものがある.
効率性のコントロールは,経営目標との適合性と情報システムの可動性の観点に大別できる.
経営目標との適合性の観点からのコントロールには次のようなものがある.
またシステム稼働状況の効率性の観点からのコントロールには次のようなものがある.
情報システムの監査性とは「監査の実施が可能であること」と定義できる.監査が実施可能であるために監査対象が備えるべき要件は次の2つである.
監査証跡とは,「事象の発生から,それに対する作用結果に至るまでの過程を双方向で追跡できる仕組み」と考えることができる.つまり原因から結果を追跡できるし,逆に結果から原因を遡ることもできなければならない.
監査証跡の役割として次のようなものが挙げられる.
各コントロールごとの監査証跡の例は次のようなものがある.
コントロール | 監査証跡の例 |
---|---|
信頼性のコントロール | バッチコントロール票,テスト結果報告書,プログラムメンテナンス履歴簿,ハードウェア障害ログなど |
安全性のコントロール | アクセスログ,オペレーションログ,システムログなど |
効率性のコントロール | ユーザニーズ調査報告書,費用対効果分析表など |
監査証跡の確保での留意点には次のようなものがある.
情報システムの内部統制は業務処理統制と全般統制の2つに大別できる.
このサイトに関するお問い合わせは,連絡先のページをご覧ください.金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」では全般統制,業務処理統制の例として次のようなものを挙げている(同実施基準,19~20ページ)
ITに係る全般統制
業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。
- システムの開発、保守に係る管理
- システムの運用・管理
- 内外からのアクセス管理などシステムの安全性の確保
- 外部委託に関する契約の管理
ITに係る業務処理統制
業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたITに係る内部統制である。
- 入力情報の完全性、正確性、正当性等を確保する統制
- 例外処理(エラー)の修正と再処理
- マスタ・データの維持管理
- システムの利用に関する認証、操作範囲の限定などアクセスの管理
[PDF]財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂に関する意見書(金融庁)