(1) 個人情報は、社団法人日本ウオーキング協会の方針として別途定める管理基準に従い、適切に管理されなければならない。 (2) 個人情報を収集する場合は、収集目的を明確に定め、その目的の達成に必要な範囲内において、適法かつ公正な手段によって行わなければならない。 がある。」としている。itガバナンスの確立に向 けた原則や組織体制及び実践すべき行動基準とな る管理基準の内容が20頁に渡って示されている【2】。 しかし、調査した企業のガバナンスの中には、 itガバナンスは、明示的に位置付けされていない システム管理基準は、組織体が主体的に経営戦略に沿って効果的な情報システム戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するための実践規範である。今日、組織体の情報システムは、経営戦略を実現するための組織体の重要なインフラストラクチャとなっている。さらに、それぞれの情報システムがネットワーク化されることにより、社会の重要なインフラストラクチャとなってきている。一方、情報システムはますます多様化、複雑化し、それに伴い様々なリスクが顕在化してきている。また、情報システムに係わる利害関係者も組織体内にとどまらず、社会へと広がっている。従って、このような情報システムにまつわるリスクを適切にコントロールすることが組織体における重要な経営課題となっている。システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが適切に整備・運用されていることを担保するための有効な手段となる。また、システム監査の実施は、組織体のITガバナンスの実現に寄与することができ、利害関係者に対する説明責任を果たすことにつながる。組織体が情報システムにまつわるリスクに対するコントロールを適切に整備・運用する目的は、以下の通りである。 システム管理基準の枠組み 1. it ガバナンスの定義 あらゆる組織は、顧客、従業員、取引先、投資家その他を含む、ステークホルダに対して 2.システム管理基準(2018年4月改訂版)~その1~ ITガバナンスとITマネジメント 正当性と説明責任の担保と内部でのIT管理策 システム管理基準の枠組み itガバナンスの定義・edmモデル・6原則・組織体制 itガバナンス システム監査基準経済産業省平成30年4月20日目次前文(システム監査基準の活用にあたって)i.システム監査の体制整備に係る基準【基準1】システム監査人の権限と責任等の明確化【基準2】監査能力の保持と向上【基準3】システム監査に対するニーズの 経済産業省は2018年4月中にも、情報システムの管理や監査の項目をまとめた文書「システム監査基準」と「システム管理基準」の新版を公表する。監査基準、管理基準とも2004年10月の改訂以来、13年半ぶりの改訂となる。 システム監査人は、情報システムリスクの特性及び影響を見極めた上で、リスクが顕在化した場合の影響が大きい監査対象領域に重点的に監査資源(監査時間、監査要員、監査費用等)を配分し、その一方で、影響の小さい監査対象領域には相応の監査資源を配分するように監査計画を策定することで、システム監査を効果的かつ効率的に実施することができる。2.情報システムリスクは、情報システムに係る リスク、情報に係るリスク、情報システム及び情報の管理に係るリスクに大別される。(1) 情報システムに係るリスクとは、情報システムの入力、処理、保存、出力プロセスの信頼性、安全性、有効性、効率性等が確保できないとか、IT戦略と 業務プロセスとの不整合などのリスクである。(2) 情報に係るリスクとは、情報システムで処理、保存、出力される情報が、目的に従った利活用ができないとか、情報の機密性、完全性、可用性が確保できないなどのリスクである。システム監査の信頼性を保つためには、専門的な観点からシステム監査が実施される必要がある。また、システム監査人には、 組織体の状況変化やIT環境の変化に対応した付加価値の高いシステム監査を実施するために、情報システム及びシステム監査に関する専門的知識・技能が必要になる。また、 論理的思考能力やコミュニケーション能力なども 求められる。システム監査人は、継続的な研鑽を通じて、効果的かつ効率的なシステム監査を行えるよう、必要な 知識・技能の向上 を図ることが重要である。連鎖倒産とは連鎖倒産(れんさとうさん)とは、ある企業が倒産した影響で、その企業に関係する会社(取引先、下請企業など)が倒産することをいい...なお、組織体の内部監査人がシステム監査を実施する場合には、日本内部監査協会の「内部監査基準」又は内部監査人の国際組織IIAの「専門職的実施の国際フレームワーク」を、また情報セキュリティ監査制度に基づく監査を実施する場合においては、「情報セキュリティ監査基準」をあわせて参照することが望ましい。「監査基準の設定について」(昭和31年12月25日・大蔵省企業会計審議会中間報告)を読み上げ(音読・朗読)した音声を録音し、YouT...拠として利用できる場合があることに留意する。例えばホワイトボードに記載されたスケッチの画像データや開発現場で作成された付箋紙などが挙げられる。(4) 必要となる監査証拠を適時に入手するためには、開発の関係者間の意思疎通を図る情報共有、コミュニケーションの仕組み、ルールが公式化され、常に適切に実践されていることを確認することが重要である。なお、クラウドコンピューティングサービスを利用するような場合には、システム監査自体を実施することが困難なケースがあることに留意する。5.監査手続は、それぞれ単独で実施される場合もあるが、通常は、一つの監査目的に対して複数の監査手続の組み合わせによって構成される。(1) 例えば、情報システムのアクセス権限付与の妥当性を監査目的とした場合の監査手続の組み合わせは、以下のようになる。・アクセス権限付与のポリシー及び付与手続に関する規程類のドキュメントレビュー・アクセス権限付与プロセスのウォークスルー・アクセス権限付与を実施する担当者へのインタビュー又はチェックリストに対する回答の入手と検討・情報システム上の実際のアクセス権限付与状況と、アクセス権限申請書との突合・照合なお、無効となったアクセス権限を用いたテストデータを用いて 、実際に拒絶されることをシステム監査人が直接確かめることが必要な場合もある。(2) 例えば、委託管理の適切性を監査目的とした場合の監査手続の組み合わせは、 以下のようになる。・委託先選定基準や委託先決定にあたっての承認記録のドキュメントレビュー・委託契約の条項(機密保持、監査権、再委託条項など)のドキュメント証し、指摘事項とともに改善提案を行う、助言を目的としたシステム監査が行われる。なお、上記②の目的をもったシステム監査を行って成熟度が確認できた時点で 、①の目的をもったシステム監査が行われることが通例である。さらに、システム監査のニーズは、以上に限らず、例えば、 委託先の管理レベルによって大きな損害を被る可能性があり、その管理レベルが自社の望むレベルであるか判断する材料として、第三者の評価が欲しいというシステム委託者のニーズ、システムを受託するに当たって、委託元が委託先の管理レベルを重視するようになり、委託元に自社のシステム管理レベルを判断してもらう材料として開示したいというシステム受託者のニーズ、社会的責任を負う重要インフラや多数の生命・財産に影響を及ぼす分野及び行政組織など、不特定多数の利害関係者に向けて、説明責任を果たすことを担保したいという社会的責任を負う者のニーズ等がある。(2) 例えば、次のようなニーズに基づいて、システム監査の対象が選択される。①例えば、経営陣が、経営戦略とIT戦略との整合性、IT利活用の有効性、企業グループ全体としてみた場合のIT戦略の合理性についての保証又は 助言を得たいというニーズをもっている場合、情報システムのガバナンスを対象とするシステム監査が選択される。②例えば、経営陣が、情報システムのサービスレベルの維持、より効率的な情報システムの維持管理、海外拠点に対するプライバシー規制等への対応状況について保証又は助言を得たいというニーズをもっている場合、情報システムのマネジメントを対象とするシステム監査が選択される。③例えば、経営陣が、情報システムに実装された機能要件が、業務要件の変化に対応して、適切に維持管理が行われているかどうかについての保証又は 助言を得たいというニーズをもっている場合、情報システムの・システム監査学会・ISACA・一般社団法人日本内部監査協会・日本公認会計士協会3.システム監査人は、求められる倫理の一環として、業務上知り得た事項を正当な理由なく他に開示するなど、自らの利益のために利用してはならない。なお、システム監査人の守秘義務は、倫理規程、契約、就業規則等によって要求される場合もある。ビュー等による口頭証拠だけに依存するのではなく、現物・状況等の確認や照合、さらにはシステム監査人 によるテストの実施、詳細な分析などを通じて可能な限り客観的で確証的な証拠を入手するよう心掛けることが重要である。3.監査手続の適用に際しては、チェックリスト法、ドキュメントレビュー法インタビュー法、ウォークスルー法、突合・照合法、現地調査法、コンピュータ支援監査技法などが利用できる。(1) チェックリスト法とは、システム監査人が、あらかじめ監査対象に応じて調整して作成したチェックリスト(通例、チェックリスト形式の質問書)に対して、関係者から回答を求める 技法をいう。(2) ドキュメントレビュー法とは、監査対象の状況に関する監査証拠を入手するために、システム監査人が、関連する資料及び文書類を入手し、内容を点検する技法をいう。(3) インタビュー法とは、監査対象の実態を確かめるために、システム監査人が、直接、関係者に口頭で問い合わせ、回答を入手する 技法をいう。(4) ウォークスルー法とは、データの生成から入力、処理、出力、活用までのプロセス、及び組み込まれているコントロールを、書面上で、又は実際に追跡する技法をいう。(5) 突合・照合法とは、関連する複数の証拠資料間を突き合わせること、記録された最終結果について、原始資料まで遡ってその起因となった事象と突き合わせる技法をいう。(6) 現地調査法とは、システム監査人が、被監査部門等に直接赴き、対象業務の流れ等の状況を、自ら観察・調査する技法をいう。(7) コンピュータ支援監査技法とは、監査対象ファイルの検索、抽出、計算等、システム監査上使用頻度の高い機能に特化した、しかも非常に簡単な操作で利用できるシステム監査を支援する専用のソフトウェアや表計算ソフトウェア等を利用してシステム監査を実施する技法をいう。・システム監査実施のための監査資源(監査時間、監査要員、監査費用等)の確保に関する事項日本経済新聞の元記者で、日本IBMの元コンサルタント、現在はMyNewsJapanオーナー兼編集長の渡邉 正裕氏の著書『10年後に食える仕事...システム監査は、任意監査 (法令等によって強制されない監査)であることから、基本的にはシステム監査の依頼者(通例、業務執行の最高責任者であるが、内部監査を所管する役職員、又はモニタリング機能を担う役職員等の場合もある。 )がいかなるニーズをもっているかを十分に踏まえたものでなければならない。また、システム監査に対するニーズを満たしているかどうかを含め、一定の監査品質を確保するための体制の整備が必要である。(2) システム監査の全部又は一部を組織体外部の専門事業者に委託する場合であっても、当該専門事業者との適切な協働体制と、当該専門事業者に対する適切な監督体制を整えることが重要である。1.システム監査を実施する場合、システム監査の依頼者のニーズによって、それに見合ったシステム監査の目的 が決定され、システム監査の 対象が選択される。(1) 例えば、次のようなニーズに基づいて、システム監査の目的が決定される。①例えば、経営陣が、取引先等からの信頼を得るために、経営者による言明書の範囲内で、自組織の 情報システムのマネジメントが有効に機能していることのお墨付きを得たいというニーズをもっている場合、「システム管理基準」に照らして情報システムのマネジメントの状況を評価・検証し、もって保証を目的としたシステム監査が行われる。②例えば、経営陣が、自組織のシステム開発管理に重大な不備があるのではないかと不安に思っており、もし不備があればそれを指摘してもらい、改善の具体的な方策を知りたいというニーズをもっている場合、「システム管理基準」に照らして現状のシステム開発管理の状況を評価・検経理業務でSAPを使用していると発生する疑問の1つとして、「原価センタ」と「利益センタ」の違いがある。それについて、“SAP CO ...本監査基準は、昭和60年(1985年)1月に策定され、その後、平成8年(1996年)1月及び平成16年(2004年)10月に 改訂がされてきたが、その後 、システム監査を巡る情報通信技術環境の劇的な変化や、システム監査に対するニーズの多様化がみられたことから、それらを踏まえて基準内容の見直しを行うこととした。*改善勧告の記載に際しては、重要改善事項と通常改善事項等、あるいは緊急改善事項と中長期改善事項等、その重要度や緊急度に区別して記載すること。あわせて、改善に責任を有する担当部署を明確にする必要がある。*改善勧告の記載に際しては、改善事項のみならず、改善によって期待される効果等を記載することが望ましい。*監査対象について保証の付与と助言をあわせて行う場合、助言については、別途「助言報告書」等の表題を付した個別の報告書を作成することが望ましい。 (3) その他特記すべき事項システム監査の概要や結論につき、システム監査人が、下記の例のように、特に監査報告書読者の注意を喚起する必要性を認めた場合には、その他特記すべき事項として記載する。・IT戦略やIT投資方針の変更・情報システム運用体制の大幅な変更・情報システムの重大な障害の発生5.組織体の会計監査人、監督官庁、取引先等、組織体 の外部者からシステム監査報告書の提出又は開示要請があった場合、監査依頼者の了解が必要であることはいうまでもなく、提出又は開示先の限定、開示内容の範囲と粒度、開示の制限に関する契約上の義務等を勘案して慎重に対応する必要がある。「監査基準」を読み上げ(音読・朗読)した音声を録音し、YouTubeに公開しました。最新の「監査基準」(平成30年7月5日改...2.いかなる目的をもっていかなる対象についてシステム監査を実施するかによって一様ではないが、システム監査を効果的かつ効率的なものとし、システム監査の品質を高めるためには、情報システムとその管理、及びシステム監査に関する基礎的な知識・技能はもちろんのこと、経営戦略、ガバナンス、リスク管理、内部統制、及び関連法令等に関する幅広い関連知識を有していることが望ましい。情報システム:組織体及び組織体間の諸活動を支えるデータ・情報の収集、蓄積、処理、伝達、利用に関わる活動・仕組み・体系の総称である。情報(通信)技術、人間(行為)、制度・ルールなどによって実体論的もしくは存在論的に構成されるものである。情報技術(IT)は、情報システムを構成する物質的人工物である。(1) システム監査人に求められる基本的な知識・技能を習得するためには、システム監査技術者、CISA(公認情報システム監査人)等の試験やCSA(公認システム監査人)の認定制度の活用も考えられる。システム監査に関する一定の専門的知識・技能を有することを認定された試験合格者がシステム監査を実施することは、システム監査の信頼性を担保することにもつながる。「四半期レビュー基準」を読み上げ(音読・朗読)した音声を録音し、YouTubeに公開しました。最新の「四半期レビュー基準」(...いように留意しつつ、監査実施のタイミング、サイクル、作業負荷、及び監査証拠の範囲・種類などを特定して計画を立案する。2.監査計画の前提としていた状況が変化した場合、システム監査の実施過程で新たな状況が発見された場合、又はやむを得ない事情により監査体制の変更が生じた場合には、適宜、計画を修正する必要がある。3.監査計画の策定にあたっては、監査対象が情報システムのガバナンスに関するものか、情報システムのマネジメントに関するものか、あるいは情報システムのコントロールに関するものかを考慮する。(1) 情報システムのガバナンスを監査対象とする場合、情報システムの利活用が経営目的に沿っているか、また、経営陣が 経営戦略に沿うように管理者に適切な方向付けを行い、かつ、適切な是正措置が講じられているかどうかを確かめることに重点を置いた監査計画となる。例えば、経営戦略とIT戦略との 整合性、 並びに 新技術及びイノベーションの経営戦略への組み込みなどの戦略リスクへの対応の状況に関する監査計画が必要となる。(2) 情報システムのマネジメントを監査対象とする場合、経営陣による方向付けに基づいて、PDCAサイクルが確立され、かつ適切に運用されているかどうかを 確かめることに重点を置いた監査計画となる。例えば、IT投資管理や情報セキュリティ対策が、PDCAサイクルに基づいて、組織体全体として適切に管理されているかどうかに関する監査計画が必要となる。(3) 情報システムのコントロールを監査対象とする場合、業務プロセス等において、リスクに応じたコントロールが適切に組み込まれ、機能しているかどうかを確かめることに重点を置いた監査計画となる。例えば、規程に従った承認手続が実施されているかどうか、異常なアクセスを検出した際に適時な対処及び報告がなされているかどうかなどに関する具体的な監査計画が必要となる。なお、ここでいうコントロールには、手作業によるコントロールと、情報システムに組み込まれた自動化されたコントロール本監査基準の記述形式については、システム監査の実施に際して遵守が求められる「基準」を「しなければならない」と記述し、各基準の補足的な説明や、実務上の 望ましい対応や留意事項を「解釈指針」として記述した。さらに、従来の本監査基準でみられた「一般基準」、「実施基準」、「報告基準」という体系は、基準の 規定を分類・整理する意味しかないことから、今回の改訂では、システム監査実施の流れに沿って、適切な表題を付す方式を採用し、実務への適用を優先するようにした。システム監査を効果的に実施し、監査の実施に係るトラブルを避け、監査実施へ協力を得るため、監 査の実施に先立って、システム監査人に関する権限と責任を組織体 の内部 監査規程等によって明確にし、周知しておくこと、あるいは外部の専門家に依頼する場合は、契約に先立ち十分な事前協議を行うことが重要である。システム監査とは、専門性と客観性を備えたシステム監査人が、一定の基準に基づいて情報システムを総合的に点検・評価・検証 をして、監査報告の利用者に情報システムのガバナンス、マネジメント、コントロールの適切性等に対する保証を 与える、 又は改善のための助言を行う監査の一類型である。(1) 文書化すべき事項としては、例えば、 以下のものが挙げられる。2.フォローアップは、監査対象部門の責任において実施される改善をシステム監査人が事後的に確認するという性質のものであり、システム監査人による改善計画の策定及びその実行への関与は、 独立性と客観性を損なうことに留意すべきである。3.監査対象部門から提出された改善実施状況報告書により、改善内容の妥当性、改善体制、改善の進捗状況等を確認し、システム監査人の改善提案のもととなった指摘事項の重大性等を総合的に勘案して、追加的な検証が必要かどうか、あるいは次回のシステム監査に反映すべき点がないかどうかを検討することが望ましい。4.監査対象部門又は改善責任部門が実施した改善策が不十分であるか、又は改善提案に基づく問題解決がなされないまま放置されている場合は、当該部門に対して、再度の改善対応を要請する必要がある。また、改善が適切かつ適時に行われない場合のリスクを明確にして、システム監査の依頼者たる経営陣に報告することが必要な場合もある。5.フォローアップの終了後 、フォローアップ報告書を作成し、システム監査の依頼者たる経営陣に報告し、その写しを監査対象部門又は改善責任部門に回付する必要がある。このような場合には、委託契約書に、委託するシステム監査業務の内容及び責任等 を明確に定める必要がある。1.システム監査を効果的かつ効率的に実施するためには、システム監査に対するニーズを十分に考慮して、適切な知識・技能を有する者がシステム監査を実施する必要がある。分配可能額とは分配可能額の意義分配可能額(ぶんぱいかのうがく)とは、会社が支払うことができる配当金の上限額のことをいいます。...2.組織体の 内部に適切なシステム監査人が存在しない場合、あるいは高度な技能を必要とする情報セキュリティの監査、遠隔地にあるデータセンタやクラウドサービスプロバイダに対するシステム監査などにおいては、システム監査の全部又は一部を、組織体外部の専門事業者(監査法人等を含む。)に委託する場合がある。(1) 委託契約書の記載事項としては、例えば、 以下のものが挙げられる。IV.システム監査実施に係る基準【基準8】監査証拠の入手と評価システム監査人は、システム監査を行う場合、適切かつ慎重に監査手続を実施し、監査の結論 を裏付けるための監査証拠を入手しなければならない。<主旨>システム監査では、監査計画に基づく監査手続の実施の結果として監査証拠が入手され、それに基づいて監査の結論が形成される。監査手続に基づく監査証拠の入手は、監査の結論を得るために必要不可欠なものである。<解釈指針>1.システム監査において、システム監査人は、個別監査計画に基づいて、監査手続を実施することによって、監査証拠を入手する。2.監査手続は、監査対象の実態を把握するための予備調査(事前調査ともいう。 )、 及び予備調査で得た情報を踏まえて、十分かつ適切な監査証拠を入手するための本調査に分けて実施される。(1) 予備調査によって把握するべき事項には、例えば、監査対象(情報システムや業務等)の詳細 、事務手続やマニュアル等を通じた業務内容、業務分掌の体制 などがある。なお、監査対象部門のみならず、関連部門に対して照会する必要がある場合もある。(2) 予備調査で資料や必要な情報を入手する方法には、例えば、 関連する 文書や資料等 の閲覧 、監査対象部門や関連部門へのインタビューなどがある。(3) 本調査は、監査の結論を裏付けるために、十分かつ適切な監査証拠を入手するプロセスをいう。十分かつ適切な監査証拠とは、証拠としての量的十分性と、確かめるべき事項に適合しかつ証明力を備えた証拠をいう。(4) 本調査において証拠としての適切性を確保するためには、単にインタ体の状況に応じて工夫する必要がある。2.システム監査の依頼者が業務執行の最高責任者である場合、最高責任者に対する報告とあわせて、取締役会、監査委員会(監査等委員会)又は監査役会等、組織体のガバナンス機能を担う機関にも監査報告書を提出することが望ましい場合がある。とりわけ、情報システムのガバナンスを対象としたシステム監査報告書や、監査報告書において情報システムのガバナンスに言及しているなど、監査報告の内容が組織体の経営に直結するとか、経営を脅かす重要なリスクとなりうるような場合にも、ガバナンス機能を担う機関に対してシステム監査報告書を提出することが望ましい。3.監査対象部門に対しては、監査依頼者たる経営陣 の了承を得たうえで、監査報告書の写しを回付することが望ましい。とりわけ、監査報告書に指摘事項及び 改善提案を記載した場合には、当該事項に関係する 監査対象部門に対しては、当該監査に限定した監査報告書を提出するなどの工夫を行うことが望ましい。また、監査対象部門以外であっても、当該指摘事項及び改善提案と密接に関連する部門等があれば、必要に応じて当該部門等に対しても、写しを回付することが望ましい。4.システム監査報告書の記載事項やその記載方法は、監査の目的、あるいは監査報告書の提出先等に応じて一様ではないが、以下に例示するような記載を行うことが望ましい。(1) 監査の概要以下に例示する事項を簡潔明瞭に記載する。・監査の目的(ニーズ、根拠、背景等でもよい。)・監査の対象(その選定根拠等を含むことが望ましい。)・監査の実施期間・監査の実施者【基準9】監査調書の作成と保管システム監査人は、監査の 結論に至った過程を明らかにし、監査の結論を支える合理的な 根拠とするために、監査調書を作成し、適切に保管しなければならない。<主旨>監査調書は、システム監査人が実施した監査のプロセスを記録したものであり、かつ、監査の結論の基礎となるものであることから、秩序ある形式で、監査調書として記録、適切に保管しておく必要がある。<解釈指針>1.システム監査人は、すべてのシステム監査において、実施内容の客観性等を確保するために、監査調書を作成する。2.監査調書の記載事項は、システム監査の目的等によって一様ではないが、システム監査においては、通常、以下の事項を含む。ただし、これらに限定されない。・監査 実施者及び実施日時・監査 の目的・実施した監査手続・入手した監査証拠・システム監査人が発見した事実(事象、原因、影響範囲等)及び発見事実に関するシステム監査人の所見・監査調書のレビューが行われた場合には、レビューアの氏名及びレビュー日3.監査調書に記載されたシステム監査人の所見は、 システム監査人の意見形成のための合理的な根拠となる。