(cache)名称未設定

第１章　システム監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■１．１　システム監査の意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「監査」という言葉を辞書で引くと、一般に「監督し、検査すること」などという説明がされている。しかし、これ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,だけでは、企業の管理者がいつも行っている一般的な管理業務と何が違うのかが分からない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「監査」という言葉の意味を探るために、ここで「内部監査」の意味を見てみよう。平成26年に改訂された「内,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,部監査基準」（一般社団法人日本内部監査協会）によると、「組織体の経営目標の効果的な達成に役立つこと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を目的として、合法性と合理性の観点から公正かつ独立の立場で、ガバナンス・プロセス、リスク・マネジメント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,及びコントロールに関する経営諸活動の遂行状況を、内部監査人としての規律遵守の態度をもって評価し、こ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れに基づいて客観的意見を述べ、助言・勧告を行うアシュアランス業務、及び特定の経営諸活動の支援を行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うアドバイザリー業務」と定義している。ここから監査のポイントとして重要な点をピックアップすると以下のよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,経営目標の効果的な達成に役立つことを目的とする,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,公正かつ客観的な立場で検討・評価を行う,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,独立的な機能として行う,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,図★　監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これを参考に監査を考えると、「独立した立場の監査人が公平かつ客観的な立場から検討・評価を行う」とい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うような定義が浮かんでくる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「システム監査基準」（平成16年改訂、経済産業省）には、「システム監査の目的は、組織体の情報システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,にまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切に整備・運用されているかを、独,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,立かつ専門的な立場のシステム監査人が検証または評価することによって、保証あるいは助言を行い、もっ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,てITガバナンスの実現に寄与することにある。」と記述されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これは、システム監査が次のような特徴を持つことを示している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（１）,,組織体の情報システムにまつわるリスクに対するコントロールがリスクアセスメントに基づいて適切,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,に整備・運用されているかを評価する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（２）,,独立かつ専門的な立場のシステム監査人が検証または評価する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（３）,,監査には、保証型あるいは助言型がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（４）,,ITガバナンスの実現に寄与するために行われる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,図★　システム監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●情報システムにまつわるリスクに対するコントロールと監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は、「情報システムにまつわるリスクに対するコントロールを評価する」と定義することができる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査というのは、何かしらのコントロールが既に存在して、そのコントロールが有効に機能していることをチェ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ックするのが本来の役割である。したがって、日常行われているコントロールが存在しないと、監査は有効に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,機能しないのである。この事を指して、「ダブルループ」という表現を使う場合もある。つまり、日常のコントロー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ルが内側のループで、その有効性をチェックする監査が外側のループになる（図１．１参照）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．１　ダブルループ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム監査人の要件,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、次の条件を満たしている必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①独立性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査は、対象組織から独立した監査人が、客観的な立場から実施する必要がある。この独立性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,は、組織面で独立しているという外観上の独立性と、監査意見が特定の人や組織の意向に左右されない,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,という精神上の独立性の二つを満たしている必要がある。例えば、情報システム部門を監査対象とする場,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,合に、昨年まで情報システム部門長の直属の部下で今年からシステム監査部門に移動した人は、外観上,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,の独立性は満たしているが、情報システム部門長に不利な意見が言いにくいとすれば、精神上の独立性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,は満たしていないことになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②適格性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査人に求められる資質として、まず重要なことは、使命感をもって公正不偏な態度で監査を行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,えることである。また、正当な注意義務、守秘義務を適切に果たせることも重要である。また、システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,に関する基本的な知識や能力をもっていることも当然求められる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　「システム監査基準解説書」（平成16年基準改訂版、経済産業省）では、システム監査人が専門職として,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,期待される知識及び技能として、以下の項目を挙げている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査の基礎理論に対する知識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査目的にあった監査手続きを監査対象に適用し、必要となる監査証拠を入手する技能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,実施した監査手続きを監査調書としてまとめ上げる技能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査証拠から監査意見を形成する技能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査意見を監査報告書にまとめ上げる技能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査計画を策定し、監査業務を管理する技能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ITに関する知識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,内部統制に関する知識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,その他、組織運営に関する一般的な知識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③実務経験,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査は、ある程度経験を積まないと、どのような点にリスクが存在するか、どのような技法を適,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,用すれば効率的に監査が行えるかなどの勘所をつかむことができない。最初は、先輩のシステム監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,について、経験を積むことが必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．２　システム監査人の要件,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,【Column】リスクとコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　コントロールは、実施し出すと切りがないという性格を持っています。例えば、セキュリティ強化のためのコン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,トロールは、強化しようと思うといくらでも実施すべき対策が出てくることになります。また、全ての項目にコント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ロールを設定することも不可能です。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　そこでどこにどこまでコントロールを設定して強化するかを判断する必要があります。この際に、判断の根拠,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,となるのがリスクの評価です。リスクの評価を行い、リスクが大きいと判断されれば、コントロールを強化するこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とになりますし、リスクが小さいと判断されれば、簡便なコントロールで済ますか、あるいは、コントロールを設,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,定しないことになります。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●保証型監査と助言型監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査というのは本来は、コントロールが適切に機能していることを保証するために行う。これを保証型監査と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いう。しかし、コントロールのレベルが低い企業に対して、この保証型監査を行っても、どのようにコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を改善してよいかわからずに、結果として適切にコントロールが機能していかないことが予想される。このよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,な場合に、最初から助言を主たる目的として監査を行う場合がある。これを助言型監査という。この保証型監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査と助言型監査について、もう少し具体的にすると、次のように定義できる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・保証型監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査対象たる情報システムにまつわるリスクに対するコントロールが、監査を実施した限りにおいて適,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,切である旨（又は不適切である旨)を監査意見として表明する形態の監査をいう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・助言型監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査対象たる情報システムにまつわるリスクに対するコントロールの改善を目的として、監査対象たる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,情報システムにまつわるリスクに対するコントロール上の欠陥及び懸念事項等の問題点を検出し、必要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,に応じて当該検出時効に対応した改善提言を監査意見として表明する形態の監査をいう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この二つの監査は一般的には、対象企業のコントロールレベルの高低によってその比重が変わり、コントロ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ールレベルの高い企業では保証型監査が主になり、コントロールレベルの低い企業では助言型監査が主にな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．３　保証型監査と助言型監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●ITガバナンス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査はITガバナンスの実現に寄与するために行われる。それではITガバナンスとは何を指すので,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,あろうか。”ガバナンス”という言葉は、日本語にすれば「統治」と訳されることが多く、ITガバナンスという言葉,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,は「経営的な立場からのITに対する統治」というように考えることができる。つまり、ITが経営目的の達成のた,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,めに有効に機能するようにコントロールすることである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経済産業省は「企業のITガバナンス向上に向けて」というレポートの中で、ITガバナンスを「企業が競争優位,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,性構築を目的に、IT（情報技術）戦略の策定・実行をコントロールし、あるべき方向へ導く組織能力」と定義して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★　ITガバナンスとは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム監査の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は、次のようなことから必要であるといえる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①内部監査、会計監査の一環としてのシステム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　現在では、小規模企業を除いて、情報システムを使用しない企業経営は考えられなくなってきている。企,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,業の業務のほとんどは、情報システムを活用して行われるようになってきた。したがって、企業の業務内容,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,を対象に内部監査や会計監査を行おうとすると、対象業務の大きな部分を占める情報システムについて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,も、その処理の妥当性、安全性などをチェックする必要が出てきた。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②情報システムが経営戦略の実現にとって大きな要素となる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　経営戦略の実現のためには、情報システムによる支援が大きな要素を占めるようになってきた。従って、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,情報システムが、効率的に機能しているかをチェックする必要が出てきた。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③情報システムの安全な運用の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　会社の機密情報の漏えいは、情報システムを使用しなくても起こりうるが、情報システムは大量のデータ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,を扱うために、情報が漏えいしたときの被害が非常に大きくなる可能性がある。また、情報システムで企業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,内の業務が行われるようになってくると、情報システムがダウンした場合に、企業内の業務がストップする,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,だけでなく、顧客などの企業を取り巻く関係者にも多大な損害を与える可能性が高くなってきた。このような,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,リスクを低減するためには、情報システムの安全性対策が適切に行われていることをチェックしておくこと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,が必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■１．２　情報システムのコントロールとは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●コントロールとは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　それでは、コントロールとはどういうことを指すのであろう。Controlという英語は、Contrast（照合）とRoll（記録,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,）の合成語だと言われている。つまり、元々の意味は記録を照合することである。例えば、財産が帳簿に記録,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,されている通りに存在するかをチェックすることなどがコントロールということになる。現在では、コントロールは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,もっと広い意味に使われているが、この「照合」という概念が根底にあることは変わりない。つまり、コントロー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ルとは、何かと何かを照合する機能であるという事ができる。それでは、この照合の対象は何だろうか。監査と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いう言葉と関連してコントロールという言葉が使用される場合、この照合の対象としては次のようなものがあげ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,られる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,組織の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,組織の規範,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,社会の規範,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　つまり、会社の目的に沿って企業内の活動が行われていること、組織のルールに従って企業内の活動が行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,われていること、社会の規制に従って企業内の活動が行われるようにすることがコントロールである。そして、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査とはこのコントロールが有効に機能しているかをチェックすることだと言える。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　それでは、コントロールを更に監査することがなぜ必要なのであろうか。適切なコントロールが組み込まれて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いれば、企業の活動は適切に行われるはずであるが、実際には、そのコントロールが適切に働かないケース,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が多い。従業員が悪意をもってそのコントロールを無視する場合もあるし、悪意はなくてもコントロールに対す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る意識の低さやうっかりミスなどによりコントロールが十分に機能しないこともよくある。これらのリスクを防ぐた,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,めには、コントロールが正しく機能しているかどうかをチェックする仕組みが必要になる。これを行うのが監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,である。つまり、監査とはコントロールの点検・評価機能であると言うこともできる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★　コントロールと監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●コントロールの必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　企業では多くの人が働いているが、これらの人々を企業の経営目標の達成に向けて収束させる仕組みがな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いと、企業の経営はうまくいかない。このための仕組みがコントロール（統制）だということができる。また、企業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の経営の責任は経営トップにあるわけであるが、経営トップがすべてのことを一人で行うことはできないので、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,当然、権限移譲をしてその活動のほとんどの部分を社員にやってもらうことになる。しかし、権限移譲したから,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,といって、その部分の責任が経営トップからなくなるわけではない。そうすると、権限移譲をした部分の活動が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,適切に行われているかどうかをチェックする仕組みが必要になる。このために必要となるのがコントロールで,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,コントロールがない場合,,,,,,,,,,,,,,,,,,コントロールがある場合,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,コントロールがないと、企業内の活動の方向性が,,,,,,,,,,,,,,,,,,コントロールがあると、企業内の活動が経営目標の,,,,,,,,,,,,,,,,, ,,定まらず、迷走する,,,,,,,,,,,,,,,,,,達成に収束され、効率的に目標達成に邁進できる,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,図★コントロールの必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●内部統制と外部統制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この企業活動に対するコントロールには、企業内で自ら行うコントロールである内部統制と、外部からの社会,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,的コントロールとがある。内部統制は、更に内部牽制制度と内部監査制度に分けることができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．４　企業活動に対するコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　内部牽制とは会社の業務を機能的に分割することによって各担当者が相互牽制し、不正・誤謬を未然に防,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,止し、又は自動的に発見する仕組みのことである。人間は、何もチェックが働かないところでは、不正を犯しが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ちである。社員の意識を高めて各社員が不正を行わないようにすることも必要であるが、それだけで不正を防,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ぐことはできない。また、社内にチェック専門部隊を設けて定期的に不正が行われていないかをチェックするこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とも考えられるが、この方法では大きなコストがかかる。一番いいのは、日常の業務の中で自然にチェックが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,働き、不正が行われにくくすることである。このような仕組みを内部牽制という。内部牽制の代表的な例は、一,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,連の業務を複数の人手を介して行うようにすることである。こうすれば、一人の人が不正を行おうとしてもほか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の人がその不正に気付くために、不正を行いにくくなる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　内部監査は、内部監査担当者が内部監査規程に基づき、資産管理、会計管理、業務管理等が、それぞれ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の管理規定に従って十分に運用されているか否かについて、監査し、これを報告書にまとめ、経営責任者に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,報告する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,内部牽制なし,,,,,,,,,,,,内部牽制あり,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,一人が一つの業務を担当すると、,,,,,,,,,,,,一つの業務を複数の担当者で分割すると、,,,,,,,,,,,,,,,,,,,,, ,,,,不正を行いやすくなる,,,,,,,,,,,,相互牽制が働き、不正を行いにくくなる,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★　内部牽制効果,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,【Column】コントロールとマネジメント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　日本の社会では、コントロールとマネジメントが明確に区別されていないことが多いようです。これが、コント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ロールの概念が正しく理解されない大きな要因となっています。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　Managementは通常、「管理」と訳されますが、Controlも「管理」と訳されてしまうことが多く、これがControlと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Managementが明確に区別されない原因になっています。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　英語では、ControlとManagementは明確に意味の違う言葉です。Controlは必ず「照合」という要素が入りま,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,すので、スケジュールが決まっていて、そのとおりに進捗が進んでいるかどうかをチェックするのは、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Schedule Controlであって、Schedule Managementではありません。これに対し、Managementはいろいろとやり,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,くりをすることですので、プロジェクトを管理することは、Project Managementであって、Project Controlではあ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,りません。なぜなら、Projectは照合対象にはならないからです。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　日本の社会は、欧米の社会と比較すると、仕事の第一線がControlよりもManagement主体の仕組みになっ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ています。つまり、欧米の社会では、何かやろうとするときに規則を明確に定めて、その通りに現場の人を動,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,かそうとします。これに対して、日本の社会では、あまり細かい規則は定めずに現場の判断にゆだねることが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,多いようです。これは、日本では第一線で働く人たちの能力が高く現場の対応力が高いことと、終身雇用であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る社員の忠誠心が高かったことに起因する部分が多くあったと考えられます。しかし、後者に関しては、現在,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の日本では必ずしも当てはまらなくなっていることもあって、日本でも欧米型のControl主体の仕組みが、急速,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に強化されてきています。J-SOX法に基づく内部統制の強化の動きなども、その一環としてとらえることができ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ます。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●コントロールの機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　コントロールを適切に行うことにより、一般に以下の機能を果たすことができると言われている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・予防牽制機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　通常の業務手続の過程で、問題の生じる可能性のある行動や機会を事前に牽制し予防すること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・誤謬摘示機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　もし問題が発生した場合、その旨を速やかに検出し警告すること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・修正回復機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　もし問題を検出した場合、それを原状回復し、組織体の活動に与える影響を最小限に留めること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●情報システムに必要なコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムには、適切なコントロールが必要です。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①情報システムにまつわるコントロールの目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査基準では、情報システムにまつわるリスクに対するコントロールの目的として、次の四つを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,挙げている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムが、関連法令、契約又は内部規定等に準拠するようにするため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　特に、この2番目と3番目に挙げられている信頼性、安全性、効率性が情報システムのコントロールの主,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,要な目的として挙げられることが多い。この信頼性、安全性、効率性については、旧「システム監査基準」,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（1996年改訂版）で、次のように定義されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,信頼性：,,,情報システムの品質並びに障害の発生、影響範囲及び回復の度合い,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,安全性：,,,情報システムの自然災害、不正アクセス及び破壊行為からの保護の度合い,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,効率性：,,,情報システムの資源の活用及び費用対効果の度合い,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　これを更に分かり易く整理すると、次の図１．５のようになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．５　情報システムのコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②情報システムの特徴とコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　企業の業務処理は、情報化されていてもいなくても何らかの形のコントロールが必要である。しかし、情,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,報システムは以下のような特徴を備えているため、情報化以前よりも厳密なコントロールが必要な場合が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,処理の大量性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,処理の高速性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,処理の均一性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,処理の広域性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　また、情報化することにより、処理の均質化、厳密化が実現するということでコントロールが強化される,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,側面もあるが、逆に以下のようなデメリットも発生するので、コントロール上の考慮が必要になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,相互牽制機能の欠落,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,記録の不可視化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,機密データの軽視,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データ信頼度の低下,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③信頼性のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　情報システムの信頼性を確保することは重要であり、そのためのコントロールが必要になる。具体的には,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,、以下のようなコントロールが必要になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムの品質を向上させるための仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムの障害発生を防止するための仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムの障害時に迅速に回復させるための仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④安全性のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　安全性の確保も情報システムにとって重要であり、以下のようなコントロールが必要になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ユーザID、パスワードなど必要な人だけが情報システムにアクセスできるような仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,その他不正アクセス、情報漏洩を防ぐ仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,自然災害などの緊急時の対策,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤効率性のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　効率性を確保するために必要なコントロールは、経営目的との適合性の観点からのコントロールと、情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,システム稼働状況の効率性の観点からのコントロールに大きく分けられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,○経営目的との適合性の観点からのコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,経営目標実現のためのシステム化目標が明確になっているかチェックする仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,システム化計画に対する適切な評価が行える仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システムが経営目的に適合しているかどうかを事後的にチェックする仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,○システム稼働状況の効率性の観点からのコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システムのコストパフォーマンス向上のためのチェックの仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システムが効率的に運用されているかどうかをチェックするための仕組み,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●情報システムの可監査性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの可監査性とは、文字通り「監査の実施が可能であること」である。監査の実施が可能である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ためには、対象業務が二つの性質を有していることが必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①コントロールが存在する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査はコントロールの点検・評価機能と言えるので、監査を行うためには、その前提となるコントロールが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,存在している必要がある。逆にコントロールが存在していない場合には、監査を行うことはできない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②監査証跡が存在する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査とはコントロールの検証を行うことであるが、その検証は実際に存在する証拠を基に行わなければ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ならない。この証拠は、情報システムの結果を事後的にチェックすることにより入手する。したがって、情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,システムには、このように事後的に検証できるような仕組みが必要になる。これが監査証跡である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★　可監査性とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査証跡,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査証跡とは、事象の発生から、それに対する作用結果に至るまでの過程を双方向で追跡できる仕組みの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ことである。この監査証跡の役割としては、以下のようなものが挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データの処理過程の追跡を可能にする,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査意見を直接的に裏付ける監査証拠となる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　主な監査証跡の例を、関連するコントロール別に次の表１．１にまとめておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,表１．１　主な監査証跡の例,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,コントロール,,,,,,,,,監査証跡の例,,,,,,,,,,,,,,,,,,,,,,,, ,,,,信頼性のコントロール,,,,,,,,,バッチコントロール票、テスト結果報告書、プログラムメンテナンス履歴簿、,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,ハードウェアの障害ログ,,,,,,,,,,,,,,,,,,,,,,,, ,,,,安全性のコントロール,,,,,,,,,アクセスログ、オペレーションログ,,,,,,,,,,,,,,,,,,,,,,,, ,,,,効率性のコントロール,,,,,,,,,ユーザニーズ調査報告書、費用対効果分析表,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査証跡を確保するためには、以下のような点に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①経済性、効率性の考慮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証跡は監査を行う側からすれば、できるだけ詳細な資料が欲しいわけであるが、システム監査自体,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,にいくら費用をかけても良いというわけではない。監査により低減可能なリスクの大きさとのバランスで、費,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,用を決める必要がある。つまり、大きなリスクが存在し、それを監査により防ぐ事ができれば、監査にも多く,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,の費用をかけることができるが、リスクが小さければ多くの費用をかけることはできない。監査証跡も同じで,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,、監査証跡の効果とその入手にかかる費用を比較して、採用する監査証跡を決定する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②見読可能性の提供,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証跡は最終的には人間が見読できる形で提供する必要がある。したがって、監査証跡を採用する際,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,は、どのような形で出力できるのかをチェックしておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③承認行為の追跡,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証跡は処理の過程を追跡する仕組みであるが、その処理の過程の中でも重要になるのが承認行為,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,の有無、妥当性である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④保存期間、保存方法の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　アクセスログのような監査証跡は、常にシステム内に監査証跡を保存していく必要がある。その結果、保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,存のために多くのシステム資源を必要とする場合も多い。したがって、監査のタイミング、必要とするシステ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ム資源の費用などを総合的に判断し、保存期間、保存方法を決定する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●ディジタルフォレンジックス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　不正アクセスやサービス妨害行為など、情報システムに関する犯罪や法的紛争・訴訟が生じた際に、原因,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,究明や捜査に必要な電磁的記録の証拠保全及び調査・分析を行うとともに、電磁的記録の改ざん・毀損等に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ついての分析・情報収集等を行う一連の科学的調査手法・技術の総称のことである。システム監査においても,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、この技術を利用することが効果的である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　フォレンジックス（forensics）は「法医学」「科学捜査」「鑑識」といった意味があり、これをITの世界に当てはめ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,たのがコンピュータフォレンジックスやディジタルフォレンジックスという言葉になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　具体的には、以下のような技術が該当する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①証拠保全技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ログ記録・保管技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ハッシュ値やディジタル署名などで同一性を保全する技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②証拠収集技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ファイル復活技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,検索技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,暗号化解除技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③証拠分析技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,文書マイニング,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,画像解析技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●業務処理統制と全般統制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの内部統制には、次の2種類がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,業務処理統制（アプリケーションコントロール）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,全般統制（ゼネラルコントロール）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務処理統制は、業務処理の過程において、データの信頼性を確保するためのコントロールである。つまり,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,データが完全、正確、正当であり、かつ一貫して継続していることを管理する（アプリケーションコントロールの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,詳細は、第５章　５．２参照）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これに対して全般統制は、データ処理が行われる環境自体が適切な状態にあることに関するコントロールで,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ある。製造業の工場に例えれば、モノを作る過程を管理するのが業務処理統制であり、製造設備のメンテナン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,スなど、モノを作る環境を管理するのが全般統制である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．６　業務処理統制と全般統制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　全般統制に、どのような範囲が含まれるかはいろいろな意見があるが、「財務報告に係る内部統制の評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,及び監査に関する実施基準」（金融庁）では、全般統制の具体例として、次の四つの項目を挙げている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（図１．７）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図１．７　全般統制の具体例,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●業務処理統制と全般統制の点検・評価方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査においては、情報システムに係る業務処理統制と全般統制を点検・評価することになる。この,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,点検・評価方法は、監査目的によって変わってくることになるが、一番一般的な評価方法は以下のようになる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①全般統制の点検・評価方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　全般統制の点検・評価に関して、一番よく使用される方法は、システム管理基準の各項目について、その,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,状況をチェックしていく方法である。システム管理基準は、情報システムの企画・開発・運用・保守というライ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,フサイクルの中で、必要となるコントロール目標が列挙されているので、これに沿って情報システムの点検,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・評価を行うと、情報システムの企画・開発・運用・保守が適切に実行されているかどうかをチェックする事,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ができる。ただし、全般統制のうちセキュリティに関しては、システム管理基準には詳細な点検項目が記載,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,されていないので、情報セキュリティ管理基準などを併用して点検・評価を行っていくことになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②業務処理統制の点検・評価方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　業務処理統制に関しては、対象とする業務によってその内容は変わってくるので、最初に各業務処理の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,どの部分にリスクが存在するかを調べる必要がある。通常はこの調査のために業務フローチャートを作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,する。作成した業務フローチャートを、業務の流れに沿って点検して、どの部分にどのようなリスクが存在す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,るかを明確にする。次にこの洗い出したリスクに対して、現在どのようなコントロールが存在するかを調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,する。そして、このリスクと対応するコントロールを比較することにより、どの部分のコントロールが脆弱かを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,明確にする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●整備状況の評価と運用状況の評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムのコントロールの評価は、整備状況の評価と運用状況の評価の二つに分けて実施するのがよ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いと言われている。整備状況の評価とは、存在するコントロールの内容が適切かどうかを評価することである,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。具体的には、コントロールに関する規定が定められていたり、仕組みが存在したりしており、その内容が適切,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,であることを評価する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これに対して、運用状況の評価は整備されているコントロールが実際に機能しているかということである。具,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,体的には、整備されている規定や仕組みの通りに、実際に作業やチェックが行われているかどうかを評価す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ることになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この整備状況と運用状況の両方が適切であると評価されたときに、そのコントロールは適切であるということ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★情報システムのコントロールの評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■１．３　監査の手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システム監査は、監査計画に基づき、予備調査、本調査及び評価・結論の手順により実施されます。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,図１．８　監査の手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システム監査を行う際には、最初に監査計画を立案し、監査目的、監査目標、監査対象、具体的な監査の方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,、監査担当者などを決めます。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　次に監査計画に基づいて予備調査を行います。この予備調査でどのようなコントロールが存在するかを確認し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,、最終的な監査手続きを確定し監査手続書が完成します。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　本調査では、監査手続書に従って、監査手続を実行し監査証拠を収集します。そして、十分な監査証拠が収集,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,できたかどうかを確認します。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　評価・結論では、収集した監査証拠を分析し、対象となった情報システムの評価を行い、指摘事項、改善勧告を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,含めた監査報告書を作成し、それに基づき監査の報告を行います。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 第２章　システム監査とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■２．１　監査計画の目的と体系,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査計画策定の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査計画を作成する目的は、システム監査を効率的に実施し、かつシステム監査の効果を高めることにあ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。システム監査を効果的にするためには、まずシステム監査の目的が明確に設定されており、それが経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,目的と合致していなければならない。監査の実施については、マネジメントの基本であるPDCAサイクル（※）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,がしっかり実施され、コントロールされていることが求められる。また、監査を実施するシステム監査技術者を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,社内で計画的に育成することも心掛けなければならない。このため、監査計画を綿密に策定しておくことが必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,※PDCAサイクル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　管理の基本は、計画（PLAN）、実施（DO)、差異の確認（CHECK）、是正措置（ACT）の四つの活動を確実,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,に行うことだと言われている。最初に綿密に計画を立て、それに基づいて作業を実施し、その実施した結果,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,が計画と差異が出ていないかチェックし、もし差異があればその差異を元に戻すための是正措置をとること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,が重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図２．１　PDCAサイクル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査目的の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査の目的は、情報システムの信頼性、安全性、効率性を高めることにある。これらのどの部分,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,に重点を置くかは、その監査対象部門の状況により異なる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目的を設定するに当たっては、次のような点を総合的に考慮に入れる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,○経営との整合性確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,経営目標、経営課題,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,経営計画、システム化計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,改善の緊急性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,関連するリスクの大きさ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,○業務上の問題点の考慮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システム部門、ユーザ部門の問題意識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査対象、監査時期の重要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,見積もられる改善効果の大きさ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,○監査の継続性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,前回システム監査の指摘事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,必須システム監査事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,○資源の制約,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査資源の制約,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査期間の制約,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★システム監査の目的設定時の考慮点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②監査業務の効率化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査は、精緻に調査しようとすれば際限なく行える。どこまで精緻に調査を行うかは、結局、費用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,対効果にかかっている。監査で使用する資源によってどの程度リスクを減らすことができるかを明確にして,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,、監査方法を決定する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③システム監査技術者の育成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査技術者の育成には時間がかかる。したがって、中長期の監査計画の中で、人材の育成方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,針を定め、その方針に即して必要な教育を受けさせ、適切な経験を積ませる必要がある。また、育成する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,人材の人数とタイミングも明確にしておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査計画の体系,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査計画は決まった期間ごとに作成される期間計画と、個々の監査ごとに作成される個別計画がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,期間計画には、経営計画と同様に、複数年度にまたがる中長期計画と年度単位の計画である年度計画があ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図２．２　監査計画の体系,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査時期の設定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査は対象や監査内容によって、1回行えばよいもの、定期的に行うべきもの、継続して実施すべきものが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①一過性の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　情報システムの企画や開発に関するシステム監査は一過性になる場合が多いので、企画や開発のタイ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ミングに合わせて適切な時期に行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②定期的に実施する監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　運用段階にあるシステムの監査は、一般に継続的に行うことが多い。システム運用は、開始時には適切,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,に行われていても、その後次第に不適切になることも多い。したがって、運用の重要事項については、定期,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,的に監査を実施する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③継続して実施する監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム対象が大きくて、一度にすべての監査を行う事ができない場合には、そのシステムを機能や要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,素別に分割して、継続的に実施することになる。また、セキュリティ対策など全社共通のテーマについて部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,門別に継続的に監査を行う場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■２．２　中長期計画書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　中長期計画書は、中長期経営計画やシステム計画書に対応して、3年から5年の単位で作成する。ここでは、中,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,長期で検討する必要があるシステム監査の基本方針やシステム監査技術者育成の基本方針を決める必要があ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●中長期計画書の役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　中長期計画書は、システム監査の基本的な方針を示すためのものである。その具体的な内容としては、次,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の三つがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①システム監査活動の方向付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査活動の基本的な方向を明確にする。次のような内容を盛り込む。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,重点監査対象(情報システム、業務など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,重点監査テーマ（有効性、有用性、信頼性、安全性、機密性、可用性など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②経営目標などとの整合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査計画は経営目標や経営戦略と整合性が取れている必要がある。そのためには、まず中長,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,期経営計画の中の経営目標を確認し、次に、その経営目標をベースに作られている情報戦略を把握し、今,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,後の情報化の方向を検討する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　また、情報システム計画を見て、今後どのようなシステム化が予定されているかを確認する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,システム監査計画は、これらの目標、計画等との整合性を考慮して作成しなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③システム監査実施体制の整備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査の実施体制も中長期的な視点から整備していく必要がある。具体的には次の視点からの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,整備が必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム監査技術者育成の方向付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査ツールなどの環境整備の方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●中長期計画書の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①システム監査実施の優先度付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査は限られた資源の中で行わなければならないし、費用対効果も考えなくてはならない。したがって、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,監査対象に優先順位を付けて、優先順位の高いものから監査を行うことになる。この優先順位は、関連す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,る経営課題の優先度や、対象システムのリスクの大きさなど、次の点を考慮して決める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,経営目標、経営課題の重要度、緊急度との整合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,リスクアセスメント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②システム開発の長期化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　大規模なシステム開発の場合、その期間は1年以上に及ぶ場合が多くなる。この場合、開発に関するシ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ステム監査も複数年度にわたって計画する必要が生じる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③被監査部門側の対応準備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　現場の通常の状態を知るために、システム監査を抜き打ちで行う場合もある。しかし、通常、現場の協力,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,なしにシステム監査を行うことは難しい。監査がスムーズに行えるように被監査部門で準備してもらうため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,、数年間の監査予定を通知しておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④システム監査技術者の育成計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査技術者は、情報システム、監査、経営に関する幅広い知識が必要であり、一朝一夕に育成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,することはできない。したがって、キャリアパスや人事ローテーションなども考慮して、長期的な育成計画を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,立てておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤外部専門家の活用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査は、社内の人材で質、量的な面で対応できない場合、又は監査の客観性を担保したい場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,は、外部にアウトソーシングする。この場合、中長期計画の中にアウトソーシングの予定も組み込んでおく,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●中長期計画書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　中長期計画書には、次のような項目を盛り込む。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,【中長期計画書】,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期の重点監査方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期の重点監査対象,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期の重点監査テーマ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期のシステム監査技術者の人員計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期のシステム監査技術者の能力開発計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,中長期の経費予算計画など,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■２．３　年度計画書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　年度計画書は、年度単位でどのようなシステム監査を行うかを示したもので、年度の経営計画や情報システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,計画書に対応して作られる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●年度計画書の役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　年度計画書は、システム監査部門の年間の活動方針、活動内容、スケジュールなどを示したもので、具体,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,的には次のような役割を担う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①システム監査部門としての年間活動の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査部門として、今年度どのような活動を行うかを明確にする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②トップマネジメント、社内関係部門への連絡,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　作成した活動内容を、トップマネジメントや、社内関係部門に連絡する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●年度計画書に必要な内容,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　年度計画書には次のような点を盛り込む必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①システム監査業務の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　今年度システム監査部門として、どのシステムや部署に対して、いつどのようなシステム監査を行って,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,いくかを明確にする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②個人スケジュールの明示,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　部門としてのスケジュールに合わせて、個人別のスケジュールについても明示しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③外部専門家の活用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査をアウトソーシングするなら、その手配も含めて計画しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④予算要求の基礎,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　年度計画は、年間のシステム監査を行うための予算要求の基礎となるので、次のような項目を明確に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,必要経費（出張費、宿泊費、日当など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査ツールなどの整備費,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,外部委託費（外部専門家の活用）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,その他,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●年度計画書の立案上の勘案事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　年度計画書を作成する際には、次の項目を考慮する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,中長期計画書で予定されている当該年度の実施目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,対応する年度の経営計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,対応する年度の情報システム計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,前年度のシステム監査の実施状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,トップマネジメントの意向,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,情報システム部門、ユーザ部門の問題意識,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善の緊急性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,問題の顕在化可能性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査対象、監査時期の重要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査資源（要員、経費など）の利用可能状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●年度計画書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　年度計画書には、次のような項目を記載する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,【年度計画書】,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,当該年度の監査目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,当該年度に監査を実施する対象（情報システム、業務など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,重点監査テーマ（監査の着眼点の明確化）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,実施体制（システム監査担当者及び監査担当チームなどの明確化）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,実施スケジュール（監査対象ごとの日程の明確化）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム監査技術者の採用・育成計画（教育内容、日程、OJTなど）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,当該年度の予算（システム監査業務遂行に必要な経費項目及び金額の明確化、社外専門家への,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,委託経費など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,自組織体の監査基準の見直し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■２．４　個別計画書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　個別計画書には、個々のシステム監査業務ごとに具体的な作業内容、スケジュール、実施方法などを記述する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書の役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画書は、次のような役割を持っている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①監査目的、監査目標の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　この監査を何のために行うかという監査目的、監査目標を明確にする。これは、監査を行う上で最も,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,重要なことである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②システム監査技術者の活動予定の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査技術者が、具体的にどのような活動を行うかを明示しておき、これに沿ってシステム監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,査業務がスムーズに進むようにする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③監査業務の進捗管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査業務についても、PDCAを実施することは非常に重要であり、その一番の基本的な事項である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,進捗管理は、この個別計画書に基づいて行うことになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査目標に対する最適な監査手続の選択,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査を効率的かつ効果的に行うためには、個別計画書で適切な監査手続きを選択する必要があり、これ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,により、監査手続の重複や欠落を予防することができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②システム監査業務の標準化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　あらかじめ個別計画書を作成し、監査部門責任者の承認を受けておくことにより、監査計画書の内容の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,統一を図る事ができると同時に、監査内容についても標準化することができ、一定の監査水準を保つこと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③業務分担の円滑化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　個別計画書の中では、どのシステム監査技術者がどの部分の監査を担当するかを明確にする。これによ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,り、適正な業務分担を行うと同時に、責任を明確化する事ができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④進捗管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　個別計画書の中では、システム監査のどの監査手続きをいつまでに完了させるかを明確にしておく。これ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,により、各監査手続の実施状況を把握して、監査全体の進捗状況を把握することができる。また、システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,監査部門の管理者が、システム監査技術者の指導監督を行う事ができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画書には、次のような項目を盛り込む。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①監査目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査目的は、できる限り具体的に記述し、監査の内容がその目的から外れないようにしておく。また、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,その監査目的の達成が本当に可能かどうかという実現可能性もチェックしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②監査対象,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査対象は、年度計画に準拠して決める。また、ビジネスリスクや環境が年度計画書作成時から変化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,していれば、それを反映させる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③監査範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査範囲は年度計画に基づいて、かつ、監査目的を達成するように定められていなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査目標は、監査目的を達成するための、具体的に目指す項目である。監査目標は、出来る限り具,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,体的に記述する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　個別計画書の中では、どのような監査手続きをとるかについて、具体的に記述する。ただし、監査手,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,続の詳細については、予備調査が終わった段階で見直しが入る。監査手続の決定に関しては、次のよ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,うな点を考慮する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査対象、監査目的、監査範囲に応じた監査手続の検討,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査の効率性の配慮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報技術を利用した監査技法の利用（コンピュータを利用した監査ツールなど）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,伝統的な監査技法の利用（ドキュメントレビュー、ヒアリング、視察など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,リスク及びそのコントロール状況を勘案した監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑥監査時期及び監査日程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　個別計画書に監査時期や日程を明記し、監査報告書の提出時期も明確にしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑦監査責任者及び業務分担,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　今回のシステム監査の責任者及びメンバを記述する。このとき、どのメンバがどの部分の監査手続を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,担当するか、また外部の専門家に委託する場合にどの部分を委託するかを明確にしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑧被監査部門責任者及び被監査部門担当者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　被監査部門についても、個別計画書の中で明確にしておく。具体的には、被監査部門（情報システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,部門、ユーザ部門）の責任者、アプリケーションシステムの管理者及び担当者、業務の管理者及び責任,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,者などを明確にしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑨他監査との連携及び調整（監査対象、監査日程、監査目的及び目標）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査は、一般的に企業全体の内部監査の一部として位置づけられる。したがって、その企業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,で行われるほかの監査との整合性や関連性を考慮しておく。特に、最近は会計処理がほとんどコンピュ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ータで行われるため、公認会計士監査とシステム監査が同時に行われることが多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑩報告時期,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　個別計画書では監査報告をいつ行うかについても記載する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑪監査コスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査では費用対効果が重要なので、実施するシステム監査において、出張費や外部委託費,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,などのコストがどのくらい発生するかについて、個別計画書に明記しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,【個別計画書】,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査対象,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査時期及び監査日程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査責任者及び業務分担,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,被監査部門責任者及び被監査部門担当者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,他監査との連携及び調整（監査対象、監査日程、監査目的及び目標）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,報告時期,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査コスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書立案上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画書は、具体的なシステム監査の実施内容を定義しているので、その立案に際しては次のような点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①個別計画の柔軟性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　個別計画の内容は、予備調査の結果や社内外の環境変化に応じて見直さなければならない。また、新た,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,なリスクが発見されると、そのリスクを考慮して監査対象及び監査範囲を拡大しなければならない場合も多,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,い。このように環境の変化に応じて個別計画の内容を柔軟に変更することが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②作業工数などの基礎情報の収集,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　作業工数を正確に見積もるためには、システム監査実施時に工数の実績を収集しておき、それを参考に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③社内外の専門家の活用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査を実施するためには、対象業務に関する専門的な知識を必要とする場合も多い。そのよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,な場合には、情報システム部門、経理部門、法務部門などの社内の専門家や、情報通信技術者、監査法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,人、コンサルティング会社など社外の専門家の活用も考慮すべきである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④定例的、継続的なシステム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　定例的、継続的なテーマで監査を行う場合には、監査の着眼点について時系に沿って検討する必要があ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,る。特に、前回システム監査の指摘事項、改善勧告について、その改善状況の点検、評価を適切に行って,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,おく。また、その場合、前回システム監査以降の情報システム環境の変化、想定されるリスクの変化などを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,考慮する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤被監査部門との調整の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象が事実を隠蔽する可能性が懸念される場合には、抜き打ち検査を行う場合もあるが、通常は、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,事前に被監査部門に監査の内容、時期を知らせておく。これは、資料の整備、担当者のアサイン、監査環,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,境の整備などの事前準備を被監査部門にしてもらい、監査がスムーズに実施できるようにするためである,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑥報告時期の決定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象及び範囲の変更や監査手続の変更など、監査計画の内容が変更になる場合も多い。したがっ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,て、監査報告時期は、このような変更に対応できるように、ある程度余裕をもって設定しておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書の妥当性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画書は、中長期計画書、年度計画書に基づいて作成されるが、具体的な監査内容を詳しく記述して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,あるため、もう一度その有用性、実現可能性について十分に検討する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画書は、先ず、監査部門内でその有用性、実現可能性のチェックをした後に、決裁権限者による承認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を受けなければならない。その際のレビューのポイントとしては次のような点が挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①有用性のレビューのポイント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,経営課題、監査目的との適合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査対象、監査テーマの妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査時期の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②実現可能性のレビューポイント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査目標の明確性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査手続の具体性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査手続の必要十分性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,見積もり作業工数の必要十分性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査技術者の適格性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 第３章　システム監査の実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．１　システム監査実施の意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム監査実施の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　最新のシステム監査基準は2004年10月に公表されたものだが、これによるとシステム監査の目的は、次の4,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,項目が適切にコントロールされていることを総合的に点検・評価することである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,情報システムが、組織体の経営方針及び戦略目標の実現に貢献している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,情報システムが、組織体の目的を実現するよう安全、有効かつ効率的に機能している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,情報システムが、内部又は外部に報告する情報の信頼性が保たれるように機能している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,情報システムが、関連法令、契約又は内部規定等に準拠している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★システム監査の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査証拠,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査証拠とは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証拠とは、監査意見を立証する事実である。監査証拠の種類として、次のようなものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,物理的証拠：システム監査人自らが検証した現物,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,文書的証拠：システム監査人が内容を検証した文書的・電磁的記録物,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,口頭的証拠：システム監査人が証拠になると判断した証言・説明,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,状況的証拠：システム監査人自らが観察した状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②監査証拠の入手方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証拠は、監査手続を適用して入手する。したがって、システム監査の実施とは、監査証拠を収集する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ために監査手続を実行する過程のことであるという言い方もできる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査証拠入手上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証拠の収集に際して次のような点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．２　システム監査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システム監査は、大きく分けて、実施準備、予備調査、本調査、評価・結論の4段階で行われる。この監査実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,の手順を図３．１に示す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,図３．１　システム監査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．３　実施準備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●個別計画書の再確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は個別計画に基づいて行われるので、実施前に個別計画書の内容をもう一度確認しておく必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,要がある。確認する内容としては、次のようなものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査の背景、目的、対象、評価の視点及び手続き,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査チームの意識統一、役割分担の確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,外部専門家への協力事項の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●被監査部門に対する事前通知,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査を円滑に実施するためには、被監査部門の協力が不可欠であるから、被監査部門に事前連,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,絡をするのが原則である。また、場合によっては通知だけでなく、事前説明会を開催した方がよい場合もある,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。被監査部門に連絡する内容としては次のようなものが挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,スケジュール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,被監査部門に対する協力要請、準備を必要とする資料など,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,準備すべきドキュメント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ヒアリング対象者のアサイン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●抜き打ち的な検査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　重大な不正や法律違反などが想定される場合や、事前に通知すると業務の内容を意図的に変化させてしま,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うことが想定される場合、抜き打ち的な検査を行うこともある。このような場合、システム監査計画立案の段階,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,から、その内容が外部に漏れないように細心の注意を払う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．４　予備調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●予備調査の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査は、本調査の前に被監査部門及び監査対象システムの概要を把握するために行う。具体的には、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,資料収集やヒアリングを行い、本調査を効果的、効率的に行うために必要な情報を収集する。また、予備調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のもう一つの目的は、本調査での監査証拠の収集方法を確認することである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　このように、予備調査は、単なる予備的な作業ではなく、明確な目的と役割をもった作業であることを認識し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図★予備調査の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●予備調査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査の作業の流れは次の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①監査対象の現状分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査対象業務及び監査対象システムについて、どのようなリスクやコントロールが存在するかを確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,図★監査対象の現状分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②現実の状態とあるべき状態の間の問題点の検討,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　現状分析の結果と本来あるべき状態との間にどのような差異があるかを確認し、現状の問題点が何,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,かを明確にする。問題点を一覧表にし、問題間における相互の関連性や共通点などを分析しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,図★現状とあるべき状態,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③計画した本調査の見直し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　洗い出したリスクやコントロール及び問題点の内容を検討した結果、必要であれば個別計画書に記述,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,した本調査の内容を見直す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,図３．２　予備調査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●予備調査の実施方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査を効率よく行うために、主に次の二つの手法が使用される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①関連文書、資料類のレビュー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　現在、進行中のプロジェクトからの文書、又は過去に構築した、もしくは現在運用しているシステム関,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,連資料などをレビューして、その内容を調査する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②チェックリストに対する回答,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査の対象となるシステムや業務に関して簡潔に回答できるチェックリストや質問書を用意し、それに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,回答してもらい内容をチェック、分析する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●予備調査実施上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査を実施する際には次のような点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①目標レベルの明確化（コントロールのレベル）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　予備調査では、どのようなコントロールが存在するかを調べることになる。そのコントロールがどのレベ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ルにあれば、監査目標及び現在の実態に照らして妥当であるかを予備調査の段階で明確にしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②潜在的問題点の存在,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　予備調査の段階で、個別計画作成時には想定していなかった新たな問題が浮かび上がってくることが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,よくある。これらの問題についても、監査目標の達成上重要であると判断されるのであれば、監査計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,の内容を見直しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③監査手続の詳細化、具体化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　予備調査で、どのようなコントロールが存在するかを明確にした後、そのコントロールの妥当性をチェ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ックするために、どのような監査手続が必要になるかを検討し、詳細化、具体化して、監査手続書に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,記述しておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,図★予備調査実施上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．５　監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　監査手続とは、どのように監査を行うかを示したものであり、別の言い方をすればどの監査技法を適用するかを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,示したものとも言える。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査手続の意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続には次の三つの側面がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①コントロールの点検・評価の過程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査手続は、コントロールの点検・評価を行うために実施する。どのようなコントロールが存在するか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,を明らかにするのが予備調査であり、そのコントロールが有効に機能しているかを確認するのが監査手,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,続である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②監査証拠の入手の過程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査意見には監査証拠による裏付けが必要であるから、監査手続を実施したら、必ずその結果の証,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,拠を残しておかなければならない。逆の言い方をすれば、監査手続は監査証拠の入手のために行う,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③監査技法の選択適用の過程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　いくつかある監査手続の中から、最適なものを選択し実施する。したがって、監査手続は監査技法の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,選択適用の過程という言い方もできる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査手続によるコントロールの評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続は、コントロールの妥当性を点検・評価するために行う。コントロールの妥当性の判断基準には次,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の二つがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①準拠性テスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　コントロールが目標、計画、規程などの基準に完全に準拠しているかどうかを調べることを準拠性テス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,トという。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②実証性テスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　情報システムの信頼性、安全性、効率性を完全に満足するコントロールは、実際には存在し得ない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,できる限りコントロールの精度を高めても、かなり管理レベルの高い企業でないと組み込むことができな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,い。そこで、監査対象に明確なコントロールが存在するかどうかと関係なく、直接監査目標を達成してい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,るかどうかを検証する場合もある。これが実証性テストである。監査の本来の意義は、存在するコントロ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ールの妥当性の点検・評価なので、準拠性テストが中心となるべきであるが、管理レベルが低く不明確,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,なコントロールしか存在しない企業において準拠性テストを行っても監査目的を達成できない場合が多,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,い。そこで、このような場合には、実証性テストを併せて行うことにより、監査目的の達成を目指すことに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,なる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,★,準拠性テストと実証性テスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　それぞれの用語について、「システム監査用語の定義と解説」による定義は以下の通り。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,準拠性テスト：,,,,,経営管理者によって設定されたコントロール（規程及びマニュアル類に規定されている,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,事項）の整備および運用状況の検証。,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,実証性テスト：,,,,,情報システムの生成するデータ、意思決定者の利用度、情報システムが使用している,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,資源等の直接的な検証。,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　上記を見ると、準拠性テストは「コントロールが整備され、正しく運用されているか」を確認するものであり,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,、実証性テストは「コントロールの結果が正しいか」を確認するモノのように見える。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　つまり、両方必要。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●適用範囲による監査手続の分類,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査を行う際、対象範囲の全件、全項目をチェックできることが好ましい。しかし、費用対効果を考慮して、サ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ンプリングチェックを行う場合もある。監査用語では、前者を精査、後者を試査と呼ぶ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①精査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象項目の全件に対して監査手続を適用することである。手作業で全件をチェックする場合もある,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,が、情報技術を利用してコンピュータでチェックする場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象項目の一部に対して監査手続を適用することである。チェック対象を選択するサンプリングの方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,法としては、統計学の手法を利用した統計的サンプリングと今までの経験をベースとした経験的サンプリン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,グがある。例えば、取引データを種類別に分類して、それぞれの数に応じて一定数をサンプリングする方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,法が統計的サンプリングであり、経験的にエラーが多い取引が分かっている場合に、そのような取引を中,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,心にサンプリングを行うのが経験的サンプリングである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査手続の適用上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続を選択し、適用するに際して次の3点に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①適時性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査手続の適用時期は、個別計画書に沿っていなければならないし、監査目標を達成するために適,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,切な時期でなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②秩序性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システムによっては監査手続の順序によって結果が変わるものがある。したがって、監査手続は合理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,的な適用順序で行う必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,★,？？？例えば何？,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③経済性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査手続は、監査目標を達成できるものでなければならないが、一方、その監査手続を実行するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,にあまりに多くの費用がかかることも好ましくない。したがって、経済性も考慮して監査手続を選択適用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,しなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．６　監査手続書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　予備調査の結果、必要があれば個別監査計画の監査手続を修正する。また、個別の監査計画で述べられた監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,査手続を実施できるレベルまで詳細にした監査手続書を作成する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　監査手続書を作成することにより、監査目標に合わせた合理的な証拠の入手がより確実になる。また、監査手,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,続書は監査の進捗管理の有効な手段として使用することもできる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査手続書の役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続書は、各システム監査人の行動を明確にするとともに、次回システム監査の参考資料としての役,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,割ももつ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①各システム監査人の行動の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査手続書を作成することにより、監査人の行動を具体的に定めることができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②次回システム監査での参考資料,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査手続書には監査人の行動が記述されているので、次回の監査を行う際に、監査手続を設計したり、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,その工数を見積もったりする場合に、貴重な資料を提供する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査手続書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査手続書には次の項目を記載する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,【監査手続書】,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,（１）監査計画の段階で記述する項目,,,,,,,,,,,,,,（２）監査の遂行中に記述する項目,,,,,,,,,,,,,,,,,, ,,,,,,・,監査目標,,,,,,,,,,,,,・,実施日付,,,,,,,,,,,,,,,, ,,,,,,・,監査技法,,,,,,,,,,,,,・,実施担当者署名,,,,,,,,,,,,,,,, ,,,,,,・,適用時期,,,,,,,,,,,,,・,実作業時間,,,,,,,,,,,,,,,, ,,,,,,・,適用対象,,,,,,,,,,,,,・,監査調書との参照番号,,,,,,,,,,,,,,,, ,,,,,,・,適用範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,作業担当者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,予定作業時間,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．７　システム監査技法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システム監査技法には、基本的なシステム監査技法と、コンピュータを利用したシステム監査技法がある。この,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,分類とは別に、最近は自己評価を中心としたCSAという技法が使われることも増えているので、それについても,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,説明する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●基本的なシステム監査技法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①チェックリスト法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査人が作成したチェックリストに対して、特定者より該当事項の有無やイエスかノーかの回答,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,を求める方法である。チェックリストの項目を適切に網羅するため、監査対象に精通したシステム監査技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,者が作成し、回を重ねるたびにチェックリストを洗練させていく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②ドキュメントレビュー法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　関連する資料、文書をシステム監査人が自ら調査する方法である。ドキュメントの内容が最新の状態であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,るかの確認や、発見された事実事項を確かめるための追加インタビュー、現地視察が必要になる場合も多,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③突合法、照合法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　関連する記録を相互につき合わせたり、記録された最終結果の起因を示す原始データまでさかのぼって,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,照合したりする方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④現地調査法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査人が被監査部門に赴き、そこでの作業状況を自ら調査する方法である。システム監査人が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,測定（例：応答時間の測定）などを実施する実査と、担当者が実施する作業をシステム監査人が観察して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,その妥当性を調査する立ち合いなどがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　この方法の場合、被監査部門の日常業務に支障を及ぼさないような配慮が必要となる。また、現地の状,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,況に応じて監査手続書の見直しが必要になる場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤インタビュー法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　特定の事実や監査意見を立証するために、システム監査人が直接、特定者に口頭で質問し、回答を入,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,手する方法である。回答の解釈に恣意性が入り込まないように、正確にインタビューを記録する。また、正,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,確で有効なインタビュー結果を得るために次のような方法がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,インタビューの事実を裏付ける関連資料を収集する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,複数の人にインタビューを行い事実・実態を把握する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●コンピュータを利用したシステム監査技法（CAAT：Computer Assisted Auditing Technique）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①テストデータ法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　準備したテストデータを監査対象プログラムに入力し、期待された結果が出力されるかどうかでプログラ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ムの正確性を確認する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②（汎用）監査プログラム法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象ファイルの検索、抽出、計算、統計的サンプリングなど、システム監査上使用頻度の高い機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,に特化した、操作の簡単な汎用監査プログラムを利用する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査モジュール法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査用のモジュールを本番プログラムに組み込むことにより本番処理中に監査用データの抽出を行う方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,法である。監査モジュールは、指定された条件にあったデータの抽出や記録を行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④ITF（Integrated Test Facility)法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象ファイルの中に、システム監査人用の口座を作成し、その口座に対して各種の操作を行い、処,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,理の正確性を検証する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤並行シミュレーション法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目的の検証のために独自のプログラムをシステム監査人が準備し、そのプログラムと監査対象プロ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,グラムに対して同一のデータを入力して、両者の実行結果を比較して、監査対象プログラムの正確性を検,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,証する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑥スナップショット法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査対象のプログラムにあらかじめ設定したデータや条件によりメモリをダンプし、必要な情報を収集す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,る方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑦トレーシング法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　特定のトランザクションの処理を追跡して、監査対象プログラムの処理の正確性を検証したり、必要な情,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,報を収集したりする方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑧コード比較法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　あらかじめシステム監査人によって検証されているプログラムと監査対象プログラムをソースコード、オブ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ジェクトコードのレベルで比較し、監査対象プログラムの改善や変更の有無を確認する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑨その他の技法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目的によっては、ユーティリティプログラム、アクセス管理用ソフトウェア、ジョブ会計機能などを活用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,する場合がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●CSA（Control Self Assessment：統制自己評価）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　リスクやコントロールの有効性について、組織や業務の運営を担う人々が自らの活動を主観的に評価する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,方法である。具体的には、各業務に従事する担当者が質問書に回答したり、ワークショップで議論したりして,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,評価を行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務担当者が自ら評価を行うので、当該業務における特有のリスクを発見しやすいというメリットがあるが、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,自己評価であることにより回答が甘くなったり、業務に精通しているがゆえに客観的な評価が難しかったりす,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,るデメリットがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．８　本調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　本調査は、監査目的に照らして監査対象の調査、分析、検討を行うことである。具体的には、監査手続書に即,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,して、必要な監査技法を監査対象に適用していく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●本調査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査は、予備調査の結果を受けて監査対象の現状を確認し、監査証拠を収集して、収集した監査証拠の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,証拠能力を検証した上で評価・結論を下す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,図３．３　本調査の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●本調査の実施方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査は、監査手続書に書かれている監査技法を使って行う。一般的に、本調査でよく使われる監査技法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,は、現地調査法、インタビュー法、突合法、照合法、コンピュータを利用したシステム監査技法などである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●実施上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査を行うに際しては、次のような点に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①積極的な現地調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　本調査は、監査証拠を収集するのが目的であるので、積極的に現地調査を行い、自分の目で確認するこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,とが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②十分な事前準備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査手続や監査技法によっては、証拠の収集に非常に手間がかかることもある。また、被監査部門の業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,務にできるだけ支障のないようにすることも重要である。したがって、事前に十分に準備を整え効率よく監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,査が行えるようにする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査手続の適時見直し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　予備調査の段階で十分に検討した上で監査手続が決められているが、それでも実際に監査手続を実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,してみると期待した情報が収集できないことがよくある。そのような場合には、どのような手法を取れば必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,要な情報が入手できるか考えて、監査手続を適時に見直す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④実施結果の記録（監査調書の作成）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　文書として残された監査調書のみが監査証拠になり得る。つまり、どんなに有効な情報を見たり、聞いた,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,りしても、それが文書になっていなければ監査証拠として使うことはできない。したがって、システム監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,は、調査を実施したら迅速にそれを記録しておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．９　評価・結論,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　評価・結論の目的は、調査結果を踏まえて、監査対象業務の実態が監査目的に照らし、妥当であるかどうかを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,判断して、その結果を監査報告書として取りまとめることである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●評価・結論の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　評価・結論は、監査担当者が意見を明確にし、監査部門内でその結論を総合検討した後、監査報告書とし,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,てまとめる。その後、被監査部門と意見交換をして調整を行って、最終的な監査報告書を作成し、それに基づ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いて監査報告会を開催する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図３．４　評価・結論の実施手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査意見の形成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査意見を明確化することは、監査実施の最終段階に位置づけられる業務である。監査意見は、トップ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,マネジメント、被監査部門などにとって意味のあるものでなければならないし、事実に基づいていなければ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ならない。特に指摘事項について、監査証拠をそろえておかなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②評価・結論の総合検討,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査意見はシステム監査記述者によって異なる場合がある。したがって、システム監査チームあるいは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,監査部門として意見の調整を行う必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査報告書案の作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　評価・結論の総合検討の結果に基づいて監査報告書案を作成する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④被監査部門との意見交換,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査報告書案が完成したら、それに基づいて被監査部門あるいは改善対象部門と指摘事項について意,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,見交換を行う。この目的は、事実誤認の有無や指摘事項の妥当性の確認であり、被監査部門と議論をし,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,たり、彼らの意見を斟酌（※）したりする場ではない点に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,※斟酌（しんしゃく）・・・,,,,,,,,あれこれ見計らって手加減すること。先方の事情をくんでやること。,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,条件などを考え合わせて適当に処置する。,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤最終的な監査報告書の作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　以上の結果を踏まえて、最終的な監査報告書を作成して提出する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　評価・結論に際しては、次の点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①追加的な監査手続の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査証拠が不足している場合には、それを入手するための追加的な監査手続を実施する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②システム監査部門責任者の承認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査の評価・結論は個人として行うものではなく、監査部門の責任で行うべきものである。したが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,って、最終的な監査報告書は、システム監査部門責任者の承認が必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③報告の迅速性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　改善の時期を逸しないように、調査が完了したら、速やかに監査報告会を開催できるようにしなければな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,らない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④被監査部門などからの異論の取扱い,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　被監査部門及び改善対象部門との意見交換は、事実誤認の有無や不十分な調査の発見を目的としてい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,るので、彼らから提示される異論や意見のすべてを応諾する必要はない。ただし、彼らの意見を補足事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,として取り扱うこともある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．１０　監査調書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　監査調書とは、実施した監査手続の結果とその関連資料をまとめたものであり、監査結果の記録であると同時,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,に監査意見の裏付け証拠となる。システム監査基準には、「監査調書は、監査結果の裏付けとなるため、監査の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,結論に至った過程が分かるように秩序整然と記録し、適切な方法によって保存しなければならない。」と記載され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,ており、実施した監査手続との対応関係なども明確に分かるようにしておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査調書の必要性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査調書は、次の目的に使用される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査意見の裏付け証拠,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,個別計画書、監査手続書への準拠性の立証,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査手続の実施記録,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査業務の品質管理の手段,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,次回システム監査での参考資料（フォローアップ）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　特に、文書として残されている監査調書のみが監査証拠となる点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査調書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査調書の記載項目は厳密には定義されていないが、一般的には、次のような項目を記載する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,【監査調書】,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（１）基本要件,,,,,,,,,,,,,,,,,(2)監査担当者の意見,,,,,,,,,,,,,,,, ,,,,,・,システム監査業務名（プロジェクト名）,,,,,,,,,,,,,,,,・,発見事項,,,,,,,,,,,,,, ,,,,,・,索引番号（ページ番号）,,,,,,,,,,,,,,,,・,監査担当者の判断や結論,,,,,,,,,,,,,, ,,,,,・,個別計画書や監査手続書との参照番号,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,入手又は作成者名,,,,,,,,,,,,,,,（３）レビューの状況,,,,,,,,,,,,,,,, ,,,,,・,入手又は作成日付,,,,,,,,,,,,,,,,・,レビュー者名,,,,,,,,,,,,,, ,,,,,・,監査手続の概要,,,,,,,,,,,,,,,,・,日付,,,,,,,,,,,,,, ,,,,,・,入手又は作成目的（監査目標）,,,,,,,,,,,,,,,,・,レビュー結果,,,,,,,,,,,,,, ,,,,,・,入手又は作成元,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,実施した監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,監査手続の適用範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●作成上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査調書を作成する際には、次の性質をもたせるように留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,真実性（記載事項が真実である）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,立証性（監査意見を立証）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,完全性（監査プロセス全体を文書化）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,秩序性（記載事項が体系的に整理されている）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,明解性（記載内容が簡潔で明瞭である）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,経済性（費用対効果を考慮した監査である）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,現時性（実施時点で逐次作成）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■３．１１　システム監査業務の管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システム監査業務も、一つのプロジェクトとして捉える事ができるので、その実施に関しては、適切な管理が必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,要となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●進捗管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査も、決められた期間内に完了しないといけないので、そのために適切な進捗管理が必要になる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。進捗管理は、個別計画書で定められた監査スケジュールに沿って、作業が進捗しているかをチェックするこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とによって行う。実際の進捗は、監査手続書の実施項目のうち、いくつ完了したかによって把握されることが多,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●品質管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の品質が悪いということは、見つけるべき指摘事項を見つけられないということである。システ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ム監査の品質が悪いと、情報システムの重大な問題を見逃して、会社に大きな損害を与えてしまうこともある,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ので、システム監査の品質管理は非常に重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　品質管理は、大きく、計画自体の品質管理と、実施内容の品質管理に分かれる。計画の品質管理は、監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,手続書のレビューが中心となる。監査手続書のレビューでは、以下のようなポイントをチェックする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,個別計画書に準拠しているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査手続は効果的かつ効率的か,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　実施内容の品質管理は、主に監査調書をレビューすることによって行う。監査調書のレビューでは、以下の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ようなポイントをチェックする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,個別計画書及び監査手続書に準拠しているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査調書として的確か,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,意見表明過程は十分な根拠に基づいて行われているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査調書に記載された事実は監査証拠として必要十分か,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査担当者間で意見の整合性は取られているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,総合評価は監査目的に適合しているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善勧告は妥当な内容になっているか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査業務の改善,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査が完了したら作業実績値などを集計し、計画値との対比を行い、差異があった場合にはその,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,原因を分析する。また、監査計画書及び監査手続書の改善点も整理しておく。さらに、採用したシステム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,技法の有効性や効率性を評価して、その結果をまとめる。これらの結果を参考にして、システム監査業務の改,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,善を図っていくことが、システム監査の品質、効率を高める上で非常に重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 第４章　システム監査の報告,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■４．１　システム監査報告の意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の報告は、システム監査の結果をトップマネジメント、被監査部門、及び関係部門などに正確,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に伝えることである。監査報告書の提出先は、監査依頼者（通常は、組織体の長）になり、必要に応じて、被監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査部門、改善対象部門及びその主管部門等に写しを配布する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査報告書の体系,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告書には、「システム監査報告書（個別監査報告書）」と「年次監査報告書」の2種類がある。これらは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、それぞれ個別計画書、基本計画書に対応している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図４．１　監査報告書の体系,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査報告書の役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告書は、次の三つの役割を持つ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査意見の伝達手段,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査人から監査依頼者への監査意見の伝達は監査報告書によってなされる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②監査内容の記録・保存手段,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査の実施結果は、監査報告書を残すことによって、記録・保存される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③システム監査人の責任限定手段,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査人は、間違い、あるいは過失のある報告をすれば責任が問われることになる。したがって、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,監査報告書の中で責任範囲を明確にしておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査報告書の記載項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告書は、次の記載区分によって構成される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,【監査報告書の例】（システム監査基準解説書（平成16年基準改訂版）より）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①導入区分,,,,,,,,,,,③意見区分,,,,,,,,,,,,,,,,,,,,, ,,,,,,a.監査部門の責任者,,,,,,,,,,,h.監査結果（監査意見）,,,,,,,,,,,,,,,,,,,, ,,,,,,b.作成日,,,,,,,,,,,i.指摘事項,,,,,,,,,,,,,,,,,,,, ,,,,,,c.監査対象,,,,,,,,,,,j.改善勧告（通常改善・緊急改善）,,,,,,,,,,,,,,,,,,,, ,,,,,,d.監査目的,,,,,,,,,,④特記区分,,,,,,,,,,,,,,,,,,,,, ,,,,,②概要区分,,,,,,,,,,,,k.関係部門との調整事項,,,,,,,,,,,,,,,,,,,, ,,,,,,e.監査範囲及び手続,,,,,,,,,,,l.その他付属事項,,,,,,,,,,,,,,,,,,,, ,,,,,,f.実施期間,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,g.担当区分及び担当者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■４．２　指摘事項の記載,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●指摘事項の的確性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、指摘事項の的確性を担保するために次のような点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①監査目的への適合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　指摘事項は、監査目的と適合していなければならない。監査目的と適合していない指摘は、たとえその,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,内容が良くても利用価値はない。また、指摘事項は経営戦略、情報戦略と合致した方向になっている必要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②指摘事項の優先順位,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査の指摘事項は多岐にわたり、それらすべてに対して一度に対応することは難しい。したがって、指摘,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,事項には優先順位を付けて、何が重要かについて被監査部門が判断できるようにしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　優先順位を付ける際には、次の点を考慮する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,経営課題、監査目的との適合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,改善の緊急性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,潜在的問題の顕在化の可能性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③監査証拠による裏付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　指摘事項は必ず監査証拠による裏付けがなければならない。システム監査人は、監査証拠がない状態,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,で指摘をしてはならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④被監査部門、関係部門との意見交換,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　指摘事項に関して事実誤認を排除するために、監査報告を提出する前に被監査部門や改善対象部門な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,どと意見交換をしておく。ただし、この目的はあくまでも事実誤認の排除にあるので、彼らの意見を斟酌して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,監査報告を作成する必要はない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤関連法規、ガイドラインなどへの準拠性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　指摘事項は、当然のことであるが、関連法規や各種のガイドライン等に準拠していなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●指摘事項記載上の留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　指摘事項の記載に関しては、次の点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①適切な表現,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査意見は、平易性、簡潔性、明瞭性を備えていなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②発見事項と意見との区分,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　指摘事項を記載する際は、どの部分が発見した事実で、どの部分が監査人の意見かを明確に区分して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,記載しなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■４．３　改善勧告と補足事項の記載,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●改善勧告の妥当性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善勧告の妥当性を確保するために、次の点に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①経営課題に即した改善勧告の優先順位付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　改善勧告の優先順位付けは、経営課題の優先順位に即して決められる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②具体的かつ詳細な改善提案の提示,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム監査人は、単に改善方針を記述するだけでなく、出来る限り具体的かつ詳細な改善提案を記述,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,するようにしなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③改善対象部門との意見交換による改善提案の実現可能性についての確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　改善報告書の提出前に、改善対象部門との意見交換を行い、改善提案の妥当性と実現可能性について,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,最終確認をしておく。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④フォローアップの実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査報告後、機会を捉えて、改善対象部門の改善作業の進捗の確認、実施の支援を行い、改善勧告が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,妥当であったかの確認を行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●補足事項の記載,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、システム監査報告書に記載するシステム監査の概要や監査意見のほかに、意見を表,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,明する必要性を認めた事項をシステム監査報告書に記載することができる。具体的には次のような項目が含,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,総合評価、指摘事項、改善勧告には該当しない内容の意見,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,権限者に監査結果を十分理解してもらうために必要な補足資料,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システムの現状判断又は改善のために必要な情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■４．４　監査報告会の実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査報告会の意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、監査結果をトップマネジメント、関係部門に説明するために監査報告会を開催する。報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,告会では、改善作業のスケジュールや担当者の決定も行い、改善作業が進むようにする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●監査報告会の参加者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告会の参加者は次の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,トップマネジメント,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,被監査部門責任者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善実施部門責任者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■４．５　フォローアップの実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●フォローアップの意義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善勧告の実現状況が、システム監査業務の有効性を左右する。したがって、システム監査人は、自身が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査報告書に記述した改善勧告の内容を実現するために、できる限りの支援をするべきである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●フォローアップの役割,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善勧告のフォローアップを行うことによって、システム監査人は次の役割を果たすことになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①改善勧告の実現の促進,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②改善に向けた関連部門の調整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③改善勧告の妥当性の確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●フォローアップの方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　フォローアップの方法としては次の三つの方法がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①改善計画及び改善報告書の提出,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査人は監査報告書に改善の具体的な内容を記載することで、改善内容の実現を促進する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,。必要であれば改善実施部門に改善計画を提出させたり、監査報告会で詳細な改善計画の立案を行っ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,たりする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②次回監査での確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　定期的に監査を行う場合には、次回のシステム監査実施時に改善の実施状況を確認する。その結果,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,、改善が不十分であれば、最優先項目として再度改善勧告を行う。また、改善が順調に進んでいる場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,には、積極的に評価し意識を高める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③フォローアップ監査の実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　重要な改善勧告に関しては、必要であれば、フォローアップ監査を行い、改善が進んでいるかどうかを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,確認する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●フォローアップの留意点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、フォローアップに際して、以下の点に留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①指導性の発揮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　改善の実施は簡単に進むものではない。システム監査人は、フォローアップに際して、適切な指導性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,を発揮して、改善の実施を実現させていかなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②改善対象部門内の進捗管理状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査人は、改善対象部門の責任者が改善作業の進捗状況を十分に管理していることを確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,し、進捗管理状況を把握していなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 第５章　テーマ別監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．１　システムライフサイクルの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　システムのライフサイクルは、情報戦略、企画、開発、運用、保守という五つの段階に分けられることが多い。そ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,れぞれの段階における監査の目標と、コントロールの目標を見ていこう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●情報戦略の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　情報戦略の監査では、次の二つの項目が主な監査目標となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,組織体全体の情報システムのあるべき姿が明確になっていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ITガバナンスの方針が明確になっていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　情報戦略の監査では、監査目標を達成するために次のコントロールが機能しているかをチェックする必要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①全体最適化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,全体最適化計画は、方針及び目標に基づいているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,全体最適化計画は、関係者に周知徹底しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②組織体制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システム化委員会の使命を明確にし、適切な権限及び責任を与えているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システム部門の使命を明確にし、適切な権限及び責任を与えているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③情報化投資,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報化投資計画は、経営戦略との整合性を考慮して策定されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報化投資に関する投資効果の算出方法を明確にしているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,④情報資産管理の方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報資産の管理方針及び体制を明確にしているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報資産のリスク分析を行い、その対応策を考慮しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑤事業継続計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,情報システムに関連した事業継続の方針を策定しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑥コンプライアンス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,法令及び規範の遵守を管理する体制を確立するとともに、管理責任者を定めているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム企画業務の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム企画業務の監査では、次の二つの項目が主な監査目標となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,開発を予定しているシステムが経営方針に従っていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,開発計画の実現可能性などを企画段階で十分評価していること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム企画業務の監査では、監査目標を達成するために次のコントロールが機能しているかをチェッ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,クする必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム化計画の立案の妥当性：システム化計画は、内外の環境なども考慮して、適切に立案され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,ているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム開発の承認ルールの確立と準拠状況：システム開発計画の承認ルールが決められており、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,それに則って承認されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②調査・分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ユーザニーズの調査：ユーザニーズの調査は的確に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,現状分析：現状分析が適切に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,技術調査：最新の技術動向は調査されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,リスク分析：開発に伴うリスク分析が行われ、適切な対応策がとられているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム導入に伴う内外の制度との関連：内外の制度との関連は調査されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③開発検討,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,目的：開発目的は明確になっているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,資金：開発のための資金手当てはできているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,要員：開発のための要員は手配可能か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,設備：開発のための設備は揃っているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,期間：開発期間は妥当か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,効果：開発の効果算定は的確に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,業務分担：開発のための業務分担は適切に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,責任体制：開発のための責任体制は明確になっているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,図★　システム企画業務の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム開発業務の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム開発業務の監査では、次の二つの項目が主な監査目標となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,情報システムが企画段階で計画されたとおりに開発されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,想定されるリスクコントロールが組み込まれていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目標を達成するために次のコントロールが機能しているかをチェックする必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①開発手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,開発手順の適切性：標準の開発手順が決められており、それに準拠しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,標準化された開発マニュアルと技術進歩に応じた更改：開発マニュアルは標準化されており、技術,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,の進歩に応じて更改されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②システム設計,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システム設計書の開発マニュアルへの準拠、承認ルール：システム設計書は開発マニュアルに準拠,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,して作成されており、承認ルールに基づいて承認されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,セキュリティ対策や障害対策の考慮：適切なセキュリティ対策及び障害対策が考慮されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システムテスト―移行―運用などのシステム設計以降の計画：システムテスト、移行、運用に関する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,計画が設計段階で適切に立案されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データのインテグリティ：データのインテグリティ（後述）が保たれるような考慮がされているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データベース設計：データベースの設計は重複なくかつ漏れなく適切に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③プログラム設計,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,プログラム仕様のシステム設計書への準拠性：プログラム仕様は、システム設計書に基づいて作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,プログラム仕様の標準化、モジュール化の適切性：プログラム仕様は標準化ルールに基づいて作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,され、適切なモジュール化がされているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④プログラミング,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,プログラミングのプログラム仕様への準拠：プログラミングは、プログラム仕様に基づいて行われてい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,るか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,各ドキュメントの開発マニュアルへの準拠：プログラミングに関するドキュメントは開発マニュアルに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,準拠して作成されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,プログラム作成の分担、テスト：プログラム作成、テストは適切に分担されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤システムテスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,テスト計画への準拠：システムテストはテスト計画に基づいて行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,テスト実施体制、ユーザ参画、テスト結果の承認：テストはユーザが参画して行われ、テスト結果は,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,ユーザによって承認されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データの保管：テストデータは保管され、今後のテストに活用できるようになっているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム運用業務の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム運用業務の監査では、次の項目が主な監査目標となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システムを安定的に稼働させ続けるために、システム運用業務の定期的なチェックが行われている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,こと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目標を達成するために次のコントロールが機能しているかをチェックする必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①オペレーション,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,マニュアルの標準化とその遵守：運用マニュアルが作成されており、それが遵守されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,例外処理の取扱い：例外処理の対処方法が決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,トラブル対策：トラブル時の対処方法が決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②入力データの作成及び入力,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データ作成手順：データの入力手順は決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,エラー処理の具体的な対応：エラー処理の具体的な対応は決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,入力までの承認手続き：入力に関する承認手続きが決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③データ及びプログラム管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,バックアップやリカバリ処理：バックアップやリカバリ手順は決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,データやプログラムの管理手続きとその遵守状況：データやプログラムの管理手順が決められてお,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,り、それが守られているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④ファシリティ管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,入退室管理：コンピュータルームへの入退室管理は適切に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ファシリティの定期保守：ファシリティは定期保守されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,バックアップ体制：ファシリティは予備が準備されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤出力情報の管理及び活用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,出力情報の管理手続きとその遵守：出力情報の管理手続きが決められており、それが守られている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,定期的な見直し：出力情報やその管理手続きは定期的に見直されているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑥外部委託,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,委託先の選定：委託先の選定基準が決められており、それに基づいて適切な選定が行われている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,契約書記載事項：外部委託先との契約は、契約基準に従って、適切に行われているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,セキュリティ対策：外部委託先には適切なセキュリティ対策を取らせているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●システム保守業務の監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム保守業務の監査では、次の項目が主な監査目標となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,システムを安定的に稼働させ続けるために、システム保守業務の定期的なチェックが行われている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,こと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　監査目標を達成するために次のコントロールが機能しているかをチェックする必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①保守体制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,保守業務の実施体制：保守業務の実施体制は確立しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ユーザ部門との関連：保守に際して、ユーザ部門の役割、責任は明確になっているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②保守手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,トラブルへの対処：トラブルへの対応は、迅速かつ適切な手続き内容になっているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,環境変化や新機能追加時などの手続：環境変化や新機能追加時における保守作業の承認手続き,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,は決められているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③テスト方法と移行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,テスト環境：保守のためのテスト環境は整っているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,テスト内容：テスト内容は適切か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,稼働中のシステムへの影響度：テストの際に、稼働中のシステムへの影響を考慮しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．２　アプリケーションシステムの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●アプリケーションシステム監査の考え方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　アプリケーションシステムの監査は、アプリケーションシステムで入力、処理、出力されるデータが正確で漏,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れのない状態になっている（インテグリティが確保されている）かを点検するものである。会計監査と同時に行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,われるシステム監査は、会計データが正確で漏れのないことを確認するために行い、アプリケーションシステ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ムの監査の代表的なものである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　データのインテグリティが確保されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　データのインテグリティは、情報セキュリティの一要件で、データが次の四つの特性を持つことである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①網羅性（完全性）：データに漏れがなく、重複がないこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②正確性：データ項目の内容が正確なこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③妥当性：データ項目について、正当な承認を受けていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,④整合性：ファイル間の整合性が取れていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）アプリケーションコントロール（業務処理統制）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　アプリケーションコントロールとは、データのインテグリティを確保するための手段であり、コンピュータシス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,テム自体によるコントロールだけではなく、承認などの業務手続上のコントロールも含んだ概念である。各,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,機能に対して、次の表のようなマトリクスの観点から必要なコントロールを検討するとイメージすればよい。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,つまり、データ作成、データ入力、データ処理、データ出力及びデータファイルの維持管理の段階で、網羅,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,性、正確性、妥当性及び整合性の四つが確保されるためのコントロールが存在することを確認することで,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,表５．１　アプリケーションコントロールのマトリクス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,データ作成,,,,,データ入力,,,,,データ処理,,,,,データ出力,,,,,データファイル,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,維持管理,,,,,,,, ,,,,,網羅性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,正確性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,整合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①データ作成のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　データ作成時のコントロールの代表的な例としては以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票の設計：入力原票を記入しやすく設計し、データの記入漏れをなくす。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,未使用原票の管理：未使用原票を定期的にチェックし、不正な使用がないことを確認する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票の作成：入力原票の確実な作成をチェックする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票の承認：入力原票の承認ルールを定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票の訂正：入力原票の修正時の手順及び承認手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票の保存：入力原票が漏れなく入力に渡るように適切な管理を行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②データ入力のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　データ入力時のコントロールの代表的な例としては以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,バッチ処理によるデータ入力：バッチ管理などにより、全てのデータが入力されていることを確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,する手段を講じる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,オンライン処理によるデータ入力：連番チェックや個別チェックなどすべてのデータが正確に入力,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,されていることを確認する手段を講じる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,企業外部からのデータの受入れ：企業外部からのデータの受入れについては、件数チェックや、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,ターンアラウンドによるデータ確認などの手段を講じる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,エディットバリデーションチェック：コードチェックや、範囲チェックなどの入力間違いを防ぐチェック,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,の仕組みを入力画面に組み込む。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力データの承認：入力データが正しく承認されていることを確認する仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,入力原票がない場合：入力原票がない場合は、データ発生の証拠を別の手段で確保しておく必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,エラーデータの修正：エラーデータの修正手順及び承認手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,エラーデータの分析：エラーデータを定期的に分析し、対応する手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③データ処理のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　データ処理時のコントロールの代表的な例としては以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,オペレーションの正確性：処理オペレーションが確実に漏れなく行われていることを確認するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,に、トータルチェックや個別チェックの仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,エディットバリデーションチェック：処理時にデータ間の整合性チェック、コードの存在チェック、範,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,囲チェックなどエラーを発見できる仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,アプリケーションシステム間の整合性：各処理間でデータが漏れなく正確に伝わっていることを確,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,認する仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,エラーデータの修正：エラーデータの修正手順及び承認手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査証拠の確保：後で監査が行えるように監査証跡を残すような仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④データ出力のコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　データ出力時のコントロールの代表的な例としては以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の検証：出力情報を検証する仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の訂正：出力情報の訂正手順及び承認手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の配布：出力情報の配布が確実に行われていることを確認する仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,企業外部へのデータ送付：企業外部へのデータ送付が確実に行われていることを確認する仕組,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の保存：出力情報が確実に保管されていることを確認する仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の廃棄：不要になった出力情報の廃棄が機密保護上問題なく確実に行われていること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,を確認する手段を組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報のセキュリティ：出力情報のセキュリティが保たれる仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,出力情報の有用性：出力情報の有用性が定期的にチェックされるような仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤データファイルの維持管理に関するコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　データファイルの維持管理に関するコントロールの代表的な例としては以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,データファイルの更新：データファイルの更新が確実に行われるような仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,データファイル間の整合性：あるファイルが更新されたにも関わらず、関連するファイルの更新が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,行われていないことなどがないように、データファイル間の整合性が保たれる仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,データファイルのセキュリティ：データファイルのセキュリティが保たれるような仕組みを組みこむ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．３　セキュリティの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　セキュリティの監査は、組織体が保有している情報資産が適切に保護されていることを点検評価するもので、シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,ステム監査の中でも、よく取り上げられるテーマである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●セキュリティ監査の概要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　未許可の利用、開示、改ざん、損害、損失から情報を保護するために、システムセキュリティが保証され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）情報セキュリティの定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　OECD（Organization for Economic Co-operation and Development）のセキュリティガイドラインでは、セキ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,ュリティを以下の三つの観点から捉えている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①機密性：,,,,権限ある者が、権限あるときに、権限ある方式に従った場合にのみ、データや情報が開示,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,される。,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②完全性：,,,,データや情報が完全であり、それが維持される。,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③可用性：,,,,データや情報、システムを適時にアクセス、利用できる。,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●セキュリティ対策の分類,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　セキュリティ対策の分類は、各種の基準や規定によって異なり、一意に決まっているものではないが、一般,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に多く使用されている分類が、物理的セキュリティと論理的セキュリティに分ける方法であり、「情報セキュリ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ティアドミニストレータ　スキル標準」においても、この分類を採用している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　物理的セキュリティは、建物や設備などの物理的な対応で主に災害や侵入などへの対策である。コンピュー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,タルームへの入室にIDカードを使用するなどの対策がこれにあたる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　論理的セキュリティは、ソフトウェア的手段あるいは人的な手段により、情報を保護しようとする対策で、更に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,「人的セキュリティ」、「管理的セキュリティ」、「システム的セキュリティ」の三つに細分できる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,図５．１　セキュリティ対策の分類,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（１）物理的セキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　物理的セキュリティは、物理的な手段によるセキュリティ対策であり、以下のようなものが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①,物理的な隔離が確認されていること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　重要な情報資産は、外部又は権限のない者が物理的にアクセスできないように隔離されている必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②,情報漏洩防御に適した物理媒体が選択されていること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　簡単に情報漏洩が起きないような物理媒体を選択することが重要である。例えば無線LANの使用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,などは十分に注意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③,ネットワーク切断事故に対して被害を最小限に抑えられるような、ネットワークトポロジが選択されて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,いること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　ネットワークの一部が切断するなどの事故により、全ネットワークがダウンするようなことがないよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,に、被害を限定的にとどめるようなネットワークトポロジが選択されていることが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（２）人的セキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　人的セキュリティとは、労務管理、教育、カウンセリングなどの人的手段によるセキュリティ対策であり、以,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,下のようなものが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,職務定義及び雇用におけるセキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　人による誤り、盗難、不正行為、又は設備の誤用のリスクを軽減する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,利用者の訓練,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　情報セキュリティの脅威及び懸念に対する利用者の認識を確実なものとし、通常の仕事の中で利用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,者が組織のセキュリティ基本方針を遵守していくことを確実にする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③セキュリティ事件・事故及び誤動作からの学習,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　セキュリティ事件・事故及び誤動作による損害を最小限に抑えるため、事件・事故を監視してそれらか,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ら学習する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（３）管理的セキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　管理的セキュリティとは、情報資産を扱う組織、物財、運用、業務を管理することによる対策であり、以下,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,のような手順や手続きを定め、遵守することが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,バックアップ/リストアの作業手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,バックアップしたソフトウェア及びデータの保管手順,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,組織のコンピュータや重要なデータの社外持ち出しの手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,セキュリティ監視のために収集するデータ範囲やログの決定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,セキュリティ監視データの保存管理に関する手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（４）システム的セキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,　システム的セキュリティとは、パスワードの設定、ファイアウォールの設置、暗号化及びアクセス制御など,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,システム的な手段による対策であり、次のようなものが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ユーザID及びパスワードが適切に設定及び管理されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ファイアウォールの設置、トラフィックの流れの制御、及び許可または拒否するトラフィックが決定され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,ていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,ネットワークサービスに関して、サポートするサービスやプロトコルが選択され、セキュリティメカニズ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,ムが設計されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,重要なデータについては、暗号化などの漏えい防止対策が取られていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,認証されたユーザが適切な情報資産にアクセスできるように、アクセス制御の手段が取られているこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,と。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,●情報セキュリティの機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報セキュリティの機能には、次の四つがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①抑制機能（心理的圧力）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　エラーや事故・犯罪に対して対策を実施することで、その発生を予防するための機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②防止機能（驚異の顕在化機会の減少）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　各種リスクから情報システムを保護するために施される機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③検知機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　エラーや事故の発生やその兆候がある場合に、いち早くキャッチし、知らせる機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④回復機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　情報システムの異常が起きたとき、それを正常に戻すための機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．４　ネットワークの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　ほとんどの情報システムがネットワークに接続されるようになってきているが、ネットワーク接続によりセキュリテ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,ィ面など各種のリスクも増大している。そのリスクへの適切な対応及び効率的なネットワーク構築の観点から、ネ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,ットワークを対象とした監査が行われることも多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　影響範囲の増大を認識した効率的なネットワークシステムの開発・運用が行われていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①通信設備、端末などのファシリティの信頼性、効率性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,通信回線などの設備の選択と妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,キャパシティ管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,通信回線設備などのバックアップ体制の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②ネットワーク自体と関連設備、適用業務システムの内容や運用管理も含むセキュリティ対策の実施状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ネットワークのセキュリティ対策,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ネットワークの障害対策,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,アクセスコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,暗号化技術の利用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③外部接続の状況、契約書の内容の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,外部接続状況の把握の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,契約書の内容の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,障害発生時の対応と責任関係の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,不正アクセス防止対策の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,運用管理状況の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④データの授受の確認、データインテグリティ確保のためのチェック機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データの授受に伴う照合方式は適切か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,回線トラブル等で発生する誤データ防止のためのチェック機能は適切か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,通信データの二重送信や欠落のチェック機能は適切か。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤ネットワーク管理、個別適用業務システムの運用管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ネットワークの監視体制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,保守適用業務システムの保守・運用体制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ドキュメント等管理資料の整備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,保守担当者の教育・訓練の状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ネットワーク構成の最新情報の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,障害発生状況の把握・分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ネットワークの費用対効果の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ユーザ満足度の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．５　Webシステムの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　多くのシステムが、Webシステムで提供されるようになってきたが、Webシステムには従来のシステムよりも多く,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,のリスクがあることが指摘されている。これらのリスクに対して適切な対応が行われていることを点検・評価する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,必要がある。また、Webシステムのメリットを活かして、効率的なシステムが構築できているかを確認することも必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,要である。これらの確認のために行われるのが、Webシステムの監査である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　Webシステムに関するリスクが適切に分析・評価され、ビジネスモデルを踏まえた有効性、有用性などを評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,して構築していること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①リスク分析・評価の網羅性、適切性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,不正アクセス（データの破壊、改ざん、漏洩など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,取引データの改ざん,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,取引の否認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,Webサイトからの情報漏洩（変更管理ミスによるものなど）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,コンプライアンス（個人情報保護、知的財産権、訪問販売法など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,DoS攻撃,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②ビジネスモデルの視点から見た有効性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ビジネスモデルの目的とシステム化計画の整合性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,採算性（費用対効果）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,運用管理の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,バックアップ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,変更管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,パスワード管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,顧客、取引先への教育（利用上の注意事項など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,認証の適切性（認証局など）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,暗号化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,電子署名の利用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．６　データベースの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　データベースではデータが一元管理されているために、そのデータ内容のインテグリティの確保には、十分な配,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,慮が必要である。これを確認するためにデータベースの監査が行われる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　適切なアクセスコントロールが組み込まれ、データインテグリティが確保された情報をユーザが利用している,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,こと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①,データベースシステムと適用業務、データベースの利用形態、データベースマネジメントシステムの利用状,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データベース管理機能の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,セキュリティ関連機能の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,DBMSの選定・評価の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,DBMSの性能評価とキャパシティ管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データベース構造の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②,適用業務システムのデータベース上の構造、データインテグリティ確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データベース設計の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,排他制御の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,入力データチェックの適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③,データベースへのアクセスコントロール状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,アクセスコントロールの管理方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,パスワード管理の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④,データベース管理者の責任と権限などの管理的側面,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データベースの管理方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,データベース管理者及び管理状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑤,データベースシステムが具備するバックアップ機能やリカバリ手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,バックアップ機能の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,リカバリ手続きの明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,テストの実施状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,⑥,データベースシステムに対するユーザ利用状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ユーザの使い勝手などのユーザの利用状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．７　アウトソーシングの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　情報システムをアウトソーシングすることが多くなってきているが、自社で行わないだけに、厳重に管理する必,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,要がある。この管理が適切に行われていることを確認するのがアウトソーシングの監査である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　アウトソーシングの方針が定められ、自社の役割、機能などが明確にされた上で、アウトソーシングを行って,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①アウトソーシング計画の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,自社の情報資源利用状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,アウトソーシングする範囲の明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,経済性の分析、評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②アウトソーシング先選定の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,選定基準の確立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,アウトソーシング業者の情報収集と分析、評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,最終選定案の承認と契約締結,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,③移行段階の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,移行計画の作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,テストの実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,切替の承認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,④,日々の管理の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,モニタリング体制の確立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,SLAに基づく評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,障害対策、セキュリティ対策の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,労働者派遣法、労働基準法等法令の遵守,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,コミュニケーション体制の確立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．８　ERPパッケージの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　ERPパッケージを利用することにより、安価かつ効率的なシステム構築が可能になると言われているが、その管,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,理を誤るとかえって非効率で使いにくいシステムになってしまうことも多い。このERPパッケージの導入が有効か,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,つ適切に行われていることを確認するのがERPパッケージの監査である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ERPパッケージの導入が適切であり、有効かつ適切に活用され、的確な管理がされていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①ERPパッケージ選定の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,選定基準の確立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,流通しているERPパッケージの情報収集と分析、評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,最終選定案の承認と開発元との契約締結,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,自社の業務プロセス（改革後）への適用性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②ERPパッケージ導入の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,「開発・導入」フェーズと同様の評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,カスタマイズの妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,パッケージ導入に伴う業務処理方式の見直しの検討,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,自社業務に合わせて適切なカスタマイズが行われているか（不必要なカスタマイズは行われていな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,いか）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,・,パッケージは汎用化されているためデータチェックが甘くなりがちであるが、それをカバーする内部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,統制が組み込まれているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,進捗管理と検収の方法の妥当性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．９　ドキュメントの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　情報システムの企画、開発、運用、保守の各フェーズでは、必ずその作業の結果として、各種のドキュメントが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,作成される。これらのドキュメントが適切に作成、管理されていないと、システムの保守、管理上で問題が生じるこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,とになる。これらのドキュメントの作成、管理が適切に行われていることを確認するのが、ドキュメントの監査であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ドキュメントが正しく作成され、管理されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①ドキュメント作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ドキュメントの作成ルールの策定状況と順守状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,作成するドキュメントの明確化と作成計画の策定状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ドキュメント作成計画に基づいた作成状況の評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,作成したドキュメントの承認状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②ドキュメント管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ドキュメントの管理ルールの策定状況と遵守状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,保守するドキュメントの明確化と保守状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,保守したドキュメントの承認状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ドキュメントの保管、複写、廃棄における不正防止及び機密保護対策の実施状況の把握,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,■５．１０　組込みシステムの監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,　組込みソフトウェアは、通常のソフトウェアと比較して、リコールの発生などバグ発生の影響が非常に大きい。ま,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,た、組込みソフトウェアのバグにより、人の生命、身体又は財産上の損失を与えた場合には、PL法適用による損,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,害賠償の可能性もある。組込みシステムにおいては、このようなリスクを十分に考慮した上で、設計、開発、保守,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,を行うべきであり、一般のシステムよりも、より一層品質管理の強化を図る必要がある。また、セキュリティ面でも,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,組込みシステム固有のリスクがあり、これらに対する対策も十分に講じなくてはならない。システム監査人は、組,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,込みシステムの監査においては、これらの組込みシステムの特殊性に配慮して、監査を行わなければならない,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（１）監査目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組込みシステムの信頼性・安全性が確保されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,（２）コントロール目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,①組込みシステムの信頼性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,品質基準の設定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,独立したテストチームによる厳格なテスト体制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,各種エミュレータ等の利用によるテスト網羅度の向上対策,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,②組込みシステムの安全性の確保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,プラグアンドプレイ機器、携帯機器やカーナビなど、ネットワーク接続される機器に関する安全対策の適,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,開発環境におけるウイルス等の混入対策の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,量産環境におけるウイルス等の混入対策の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,廃棄サイクルにおける情報漏洩対策の適切性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,