システム監査：システム監査とは（最終更新：2015/12/06 16:33:44 JST）

システム監査とは（その2）

情報システムのコントロールとは（教科書48ページ）

コントロールとその必要性は（教科書48ページ）

システム監査における情報システムのコントロールとは次の事柄が適切に行われるよう統制されていることを表す．

• 組織の目的に沿って活動が行われていること
• 組織の規範（ルール）に従って活動が行われていること
• 社会の規範に従って活動が行われていること

コントロールが正しく機能していることをチェックするのが監査でもある．また組織内で権限委譲が行われている場合，委譲した部分の活動の適切性をチェックするために，コントロールが必要となる．

[*]下へ▼ ▲[#]上へ

内部統制と外部統制（教科書50ページ）

組織の活動に対するコントロールは，内部統制と外部統制に大別できる．内部統制はさらに，内部牽制制度と内部監査制度に細分できる（教科書50ページ，図1.4参照）．

内部統制

組織内部で行うコントロール

内部牽制制度

各担当者が相互牽制し，不正・誤謬を未然に防止し，あるいは自動的に発見する仕組み

内部監査制度

内部監査担当者が内部監査規定に基づき監査を実施

外部統制

組織外部から社会的コントロール

[*]下へ▼ ▲[#]上へ

コントロールの機能（教科書50ページ）

コントロールの実施により得られる機能は以下のものが挙げられる．

• 予防牽制機能：問題の生じる可能性のある行動や機会を事前に牽制し予防する機能
• 誤謬摘示機能：問題発生時に速やかに検出，警告する機能
• 修正回復機能：問題検出時に原状回復し，影響を最小限に留める機能

[*]下へ▼ ▲[#]上へ

情報システムに必要なコントロール（教科書51ページ）

情報システムに関するコントロールの目的（教科書51ページ）

システム監査基準の前文で，情報システムのリスクコントロールの目的として次の4つを挙げている．

組織体が 情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。

• 情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため
• 情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため
• 情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため
• 情報システムが、関連法令、契約又は内部規程等に準拠するようにするため

システム監査基準（経済産業省）

このうち，信頼性，安全性，効率性の3つがコントロールの主要な目的として挙げられることが多い（教科書52ページ，図1.5参照）．

• 信頼性：情報システムの品質並びに障害の発生，影響範囲及び回復の度合
• 安全性：情報システムの自然災害，不正アクセス及び破壊行為からの保護の度合
• 効率性：情報システムの資源の活用及び費用対効果の度合

情報システムの特徴とコントロール（教科書52ページ）

情報システムの処理の特徴は次のようなものが挙げられる．

• 処理の大量性
• 処理の高速性
• 処理の均一性
• 処理の広域性
• 処理の厳密性

また情報システムの処理のデメリットしては次のようなものがある．

• 相互牽制機能の欠落あるいは不全
• 記録の不可視化
• 機密データの軽視
• データ信頼度の低下

信頼性のコントロール（教科書53ページ）

システムの信頼性を確保するためのコントロールには次のようなものがある．

• 情報システムの品質向上のための仕組み
• 情報システムの障害発生防止のための仕組み
• 情報システムの障害時に迅速に回復させるための仕組み

安全性のコントロール（教科書53ページ）

安全性の確保のためのコントロールには次のようなものがある．

• ユーザID，パスワードなどによるアクセスコントロール
• 不正アクセス，情報漏洩の防止策
• 自然災害などの緊急時対策

効率性のコントロール（教科書53ページ）

効率性のコントロールは，経営目標との適合性と情報システムの可動性の観点に大別できる．

経営目標との適合性の観点からのコントロールには次のようなものがある．

• 経営目標実現のためのシステム化目標の明確性
• システム化計画に対する適切な評価の仕組み
• 情報システムが経営目標に適合していることを事後にチェック可能な仕組み

またシステム稼働状況の効率性の観点からのコントロールには次のようなものがある．

• 情報システムのコストパフォーマンス向上のためのチェックの仕組み
• 情報システムの効率的な運用をチェックするための仕組み

[*]下へ▼ ▲[#]上へ

情報システムの監査性（教科書54ページ）

監査性の要件（教科書54ページ）

情報システムの監査性とは「監査の実施が可能であること」と定義できる．監査が実施可能であるために監査対象が備えるべき要件は次の2つである．

• コントロールの存在：監査はコントロールの点検評価なのでコントロールが存在しないと話にならない
• 監査証跡の存在：上記コントロールの検証は実際に存在する証跡に基づく必要がある

監査証跡（教科書54ページ）

監査証跡とは，「事象の発生から，それに対する作用結果に至るまでの過程を双方向で追跡できる仕組み」と考えることができる．つまり原因から結果を追跡できるし，逆に結果から原因を遡ることもできなければならない．

監査証跡の役割として次のようなものが挙げられる．

• データの処理過程の追跡を可能にする
• 監査意見を直接的に裏付ける監査証拠となる

各コントロールごとの監査証跡の例は次のようなものがある．

監査証跡の確保での留意点には次のようなものがある．

• 経済性，効率性の考慮：防ぐリスクの損失額＞監査費用
• 見読可能性：例えば特殊なソフトのデータをそのソフトがなくても取り出す方法など
• 承認行為の追跡：いわゆる決裁の有無と妥当性
• 保存期間，保存方法の妥当性：システム資源との兼ね合いで決定する必要

[*]下へ▼ ▲[#]上へ

内部統制の種類（教科書55ページ）

情報システムの内部統制は業務処理統制と全般統制の2つに大別できる．

業務処理統制（アプリケーションコントロール）

業務処理過程でのデータの信頼性を確保するためのコントロール．データが完全，正確，正当で，かつ一貫して継続していることを管理

全般統制（ゼネラルコントロール）

データ処理が行われる環境自体を適切な状態に保つためのコントロール

金融庁「財務報告に係る内部統制の評価及び監査に関する実施基準」では全般統制，業務処理統制の例として次のようなものを挙げている（同実施基準，19～20ページ）

ITに係る全般統制

業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。

• システムの開発、保守に係る管理
• システムの運用・管理
• 内外からのアクセス管理などシステムの安全性の確保
• 外部委託に関する契約の管理

ITに係る業務処理統制

業務を管理するシステムにおいて、承認された業務がすべて正確に処理、記録されることを確保するために業務プロセスに組み込まれたＩＴに係る内部統制である。

• 入力情報の完全性、正確性、正当性等を確保する統制
• 例外処理（エラー）の修正と再処理
• マスタ・データの維持管理
• システムの利用に関する認証、操作範囲の限定などアクセスの管理

[PDF]財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂に関する意見書（金融庁）

[*]下へ▼ ▲[#]上へ