システム監査用語の定義と解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 1,システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は、組織体の情報システムにまつわるリスクに対するコントロールが、リスクアセスメントに基,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,づいて適切に整備・運用されているかを、独立かつ専門的立場のシステム監査人が検証または評価すること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,によって、保証を与えあるいは助言を行う活動である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この定義は、新しい『システム監査基準（2004.10改訂）』にある「システム監査の目的」の記述から引用して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いる。「情報セキュリティ監査基準(2003.4策定）」の情報セキュリティ監査の考え方と整合性を取っているので,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、別項の『情報セキュリティ監査制度』の項も参照のこと。以下若干の補足をして解説とする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の対象は、電子計算機とネットワークを中核とした情報システム及びそのライフサイクルプロセ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,スであり、情報及びデータの収集・作成から活用・管理・廃棄までの全てのプロセスを含むものである。これを「,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,情報システム」と総称している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、情報システムは組織体の目標達成に役立つ情報及び業務処理を提供することを使命とするが、シス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,テム監査はその使命の達成に貢献することを目的とする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　そしてその結果として組織体の『ITガバナンス』の実現に、また情報システムにまつわる『リスク』に対する『コ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ントロール』が適切に整備・運用されていることの説明責任を果たすことに寄与することとなる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　適切であるか否かを問われる情報システムにまつわるリスクに対するコントロールの目的は、新しいシステ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ム監査基準の前文に次の四つに分けて示されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,情報システムが、組織体の経営方針及び戦略目標の実現に貢献するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,情報システムが、組織体の目的を実現するように安全、有効かつ効率的に機能するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,情報システムが、内部又は外部に報告する情報の信頼性を保つように機能するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④,情報システムが、関連法令、契約又は内部規定等に準拠するようにするため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお『金融機関等のシステム監査指針（2000.7改訂）』ではリスク管理の視点から、システム監査を「情報シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステムの有効性、効率性、信頼性、遵守性、および安全性の達成を妨げようとする情報システムリスクの管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,体制が適切かつ効果的であるかを、監査対象から組織的に独立したシステム監査人が把握、評価し、その結,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,果を経営者に報告するものである。」と定義している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 2,内部監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の経営目標の効果的な達成に役立つことを目的として、経営諸活動の遂行状況を、合法性と合理性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の観点から公正かつ客観的な立場で検討・評価し、これに基づき特に改善を重視して助言・勧告を行う組織,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,体内の独立的な機能である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この定義は日本内部監査協会が「内部監査基準（1996.5改訂）」の中で定めているものである。内部監査は,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,組織体の独自の判断に基づいて実施されるものであるが、定義された機能の効果を発揮させるためにも組織,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,体の長に直属する組織上の位置付けも必要となっている。監査の観点は合法性（法に抵触してないか）と合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,理性（無駄なく能率的であるか）であるが、経営目標を効果的に達成するために、事業活動の効率的推進と規,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,律保持・士気高揚をうながして、社会的信頼を確保する必要に応えるものである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお米国内部監査人協会（IIA）の新定義（1999.6）は、「内部監査は、組織体のオペレーションに価値を付加,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,し、それを改善することを目的とする独立的かつ客観的アシュアランスおよびコンサルティング活動である。（,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,山本明知氏訳）」となり、これまでの単なる「組織内の独立した評価機能」の定義から激変している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また「品質及び/又は環境マネジメントシステム監査（JIS Q 19011）では、内部監査を「第一者監査」（独立性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,は監査の対象となる活動に関する責任を負っていないことで実証）と呼ぶこともある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 3,外部監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の内部または外部の利害関係者のために、組織体から独立した外部の専門化によって実施される,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　もともと組織体外部の会計監査人など第三者が行う『会計監査』のことである。法律に基づく監査制度として,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、商法・証券取引法による『会計監査人』（公認会計士・監査法人）の監査が代表的であるが、監督官庁の検,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査・監査など被監査組織体の意思に関係なく行われる監査もある。システム監査においては、システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,企業台帳の登録企業による監査が代表的な事例である。『金融検査マニュアル』（システム統合リスクのチェッ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,クリスト）の「第三者機関による評価」の例示にある「システム監査人によるシステム監査」もこれにあたる。た,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,だし登録企業やシステム監査人が内部監査の一部または全部を請け負う場合は、外部監査ではなく一部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,または全部の外部委託された内部監査ということになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、自治体の内部監査部門としての監査委員会に対し、外部監査の制度として「包括外部監査」と「個別,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,外部監査」が制度化（地方自治法第252条の27）されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、「品質及び/又は環境マネジメントシステム監査(JIS Q 19011）では、外部監査には「第二者監査」（顧,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,客など組織の利害関係者による監査）及び「第三者監査」（審査登録・認証機関などによる監査）と呼ばれるも,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 4,会計監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の会計業務の監査をいい、主として財務諸表がその組織体の財産、損益の状況を適正に表示してい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,るか否かを監査することをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　法定監査としての会計監査の主体は、監査役と会計監査人（公認会計士・監査法人）に大別される。株式会,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,社にあっては、いわゆる特例法の区分により次の様に定められている。（三様監査については、『業務監査』,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の項目参照）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,［株式会社の監査等に関する商法の特例に関する法律］（特例法）による区分,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,大会社,,,＝,資本金5億円以上または負債合計200億円以上（同法2条）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,会計監査人の監査を義務付ける。監査役は業務監査にウエイトを置ける,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,中会社,,,＝,資本金1億円超、5億円未満、負債合計200億年未満（同法非該当・商法適用）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,監査役は業務監査と会計監査の両方を行う,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,小会社,,,＝,資本金1億円以下、負債合計200億円未満（同法22条）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,監査役は会計監査を行う,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、2002年の商法特例法の改正により、資本金1億円以上の株式会社は、定款に公認会計士または監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,法人を会計監査人に選任する旨を定め、「みなし大会社」となり、大会社の規定の適用をうけることとなった。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 5,業務監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の会計以外の業務の監査をいい、組織体の人事、購買、製造、販売等の会計以外の業務活動全般,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,にわたって、その遂行状況を監査することをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の経営目標の達成を目的とし、合法性、合理性の観点から経営諸活動を監査することで、内部監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,部門の監査、監査役監査がそれぞれの立場でこれに関わっている。なお「会計以外の業務の監査」の用語は,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、商法の特例法第14条「監査役の監査報告書」にあるので、これを採用した。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、この両監査と会計監査人監査を合わせて、「三様監査」と呼び次の様に整理される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,［株式会社の監査制度］（いわゆる大会社の場合）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①,商法監査（監査役、会計監査人＝公認会計士・監査法人）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②,証券取引法監査（公認会計士・監査法人＝会計監査人）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③,内部監査＝任意監査（内部監査人）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の三様監査から成り立つ。なお、これを監査主体別に区分すれば、次のようになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査役監査（取締役の職務執行の適法性の監査）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,会計監査人監査（財務諸表の適正性の監査）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,内部監査（企業の内部統制の監査）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 6,経営監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の経営層を対象にした監査をいい、取締役の職務執行の監査を行う『監査役監査』や取締役会のリ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,スク管理認識等を経営の視点から問う監査等をいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　商法274条に「監査役ハ取締役ノ職務ノ執行ヲ監査ス」るとあり、これこそ経営監査の代表例といえる。最近,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,では『金融検査マニュアル』等で取締役、取締役会の経営戦略、リスク認識、リスク管理方針等を問う姿勢が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,強化され、『外部監査』・『内部監査』ともに経営監査の視点からの監査が一般化されてきている。新しいシステ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ム監査の視点も同じ方向に向かっている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 7,任意監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体の自由意思によって行う内部監査をいい、『法定監査』・強制監査の監査役監査、会計監査人監査や,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監督官庁の検査・監査と区別される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は任意監査である。ただし監査の目的や監査主体によって法定監査・強制監査に該当するこ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ともある。『システム監査基準』に規定されるシステム監査は『内部監査』の位置付けであったが、現在は内部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、『外部監査』に共通する基準になっている。『金融機関等のシステム監査指針』もシステム監査を「内部監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の一環として経営者からの委任を受けて実施するもの」としているが、外部機関の利用も有効としている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 8,法定監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　商法で定める監査役監査、商法・証取法で定める会計監査人（公認会計士・監査法人）監査などのように、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,法令によって定められている監査をいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査役監査』、『公認会計士監査』などの項目参照。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 9,監査役監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　商法並びに「株式会社の監査等に関する商法の特例に関する法律（特例法）」で定める監査役監査をいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,商法では、「監査役ハ取締役ノ職務ノ執行ヲ監査ス」る権限を規定し、特例法では株式会社の規模により、監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査役の業務監査と会計監査へのかかわりを規定している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『会計監査』、『業務監査』などの項目参照。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 10,公認会計士監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　会計監査人すなわち公認会計士または監査法人が行う会計監査のことをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『会計監査』の項目参照。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 11,会計監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　会計監査人は公認会計士（外国公認会計士を含む。）または監査法人のことをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　商法の特例法による区分で、資本金5億円以上または負債合計200億円以上（同法2条）の株式会社は、計,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,算書類等について監査役の監査のほか、「会計監査人の監査」を義務付けられている。『会計監査』の項目参,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,照。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 12,システム監査人の独立性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査結果の保証あるいは助言が公正・不偏であるために、システム監査人が被監査主体から組織的にも精,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,神的にも独立していることをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査が公正かつ妥当に実施されるためには、システム監査人の独立性、客観性が要求される。そ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のためには、システム監査人が被監査主体である情報システム部門はもちろんユーザ部門などから、外観上,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,も精神上でも独立性を保持していることが必要である。『システム監査基準』ではその一般基準の中で、「外観,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,上の独立性」と「精神上の独立性」を項を分けて定めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 13,システム監査技術者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査技術者試験の合格者をいう。「情報処理の促進に関する法律」に基づき定められた「情報処理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,技術者試験規則」による国家試験の合格者である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査を普及するためには、システム監査人の養成が必要であり、そのための通産省・経済産業省,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の施策として能力認定試験（1986年以降）が行われてきた。当初「情報処理システム監査技術者試験」の名称,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,であったが、1994年から現在の「システム監査技術者試験」となっている。その間、高度情報化人材育成カリ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,キュラムに基づく育成カリキュラムに準拠した試験へ、更に現在の出題範囲、スキル標準の策定・公表による,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,試験の実施に変わるなど制度改善が行われてきた。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　試験科目は、情報処理システムに関する知識、情報処理システムの監査に関する専門的知識、情報処理シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステムの監査に関する専門的能力を問うものである。試験（2005年春より）は午前問題が多肢選択式（四肢択,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,一）55問（100分）、午後Ⅰ問題が4問中3問選択記述式（90分）、午後Ⅱ問題が3問中1問選択論述式（小論文、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,120分）である。「合格率は5.6～7.6の間で平均6.7％」となり、情報処理技術者試験の中で最も難しい試験の一,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,つとされる。2004年までの累計合格者は5440人に達している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、本試験制度の運営は独立行政法人情報処理推進機構：情報処理技術者試験センターが行っている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 14,公認システム監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査技術者試験合格者について、実務経験を確認し継続教育を義務付けて「公認システム監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,」（CSA）として認定する制度である。システム監査の実務経験を積む間は、「システム監査人補」（ASA)として,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,認定され、両者ともに一定の継続教育を受けることを義務付けられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　産業構造審議会の情報産業部会・情報人材対策小委員会は、その中間報告(1996.6.1）で次の2点の指摘を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,行った。一つは、「システム監査人がユーザの信頼を得るためには、単に知識を習熟するのみならず、実践的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査経験を積むことが重要である。その観点から、従来より実施しているシステム監査技術者試験に合格し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,た上で、一定の有効な実務経験を積んだことを確認することにより、システム監査人として認定する制度の創,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,設を検討する。」またもう一つは「IT技術が急速に変化する中で、システム監査人が最新の技術動向に対応で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,きるよう情報処理技術者試験の見直しと合わせて定期的セミナーの受講を義務付けるなどの方策を検討する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。」である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この提言を受けて、特定非営利活動法人の「日本システム監査人協会」（Systems Auditors Associaton of,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Japan=SAAJ）が2002年4月に、経済産業省の指導のもとにこの制度を創設した。公認システム監査人の英語,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,名は、Certified Sysems Auditor(CSA）である。またシステム監査人補は、Associate Systems Auditor（ASA)で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、その他の高度情報処理技術者や公認会計士等関連資格の保持者に対して特別認定制度の講習・試,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,験の合格を条件にシステム監査人補に認定する特認制度が設けられている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本認定制度の運営は、特定非営利活動法人日本システム監査人協会が行っている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 15,専門監査人制度,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査学会（JSSA；Japan Society for Systems Audits）が運営している制度であり、学会員の中で一,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,定の要件を満たしたシステム監査人を専門監査人（CMA；Certified Master Auditor)として認定し、精度の高い,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査の実施による情報化社会の安全化・安定化への貢献を目的としたものである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査学会が、2004年度から運営を開始した制度である。現在、専門監査人の区分として、情報セキ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ュリティ専門監査人、個人情報保護専門監査人、会計システム専門監査人の3つが設定されており、今後、新,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,しい専門監査人区分の設定も検討されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　それぞれの専門監査人の要件、認定を受けるための手順、認定を受けた後の更新手順などについては、シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステム監査学会のホームページに掲載されているので、参照のこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 16,CISA（公認情報システム監査人）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　米国のISACA（Information Systems Audit and Control Association)の実施するCISA試験（Certified ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Information Systems Auditor）の合格者に対し一定の実務経験を条件に認定される資格保持者をいう。資格,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の維持には継続教育を受ける必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　CISA試験は、情報システム監査、コントロール及びセキュリティの実務能力をテストするもので、200問の多,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,肢選択式問題（4時間）からなる。世界各国で受験可能で日本では、日本語で受験できる。CISAは日本語で「,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,公認情報システム監査人」と訳されている。なお、ISACA（情報システムコントロール協会）は、情報システムの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,安全性・有効性、システム監査の普及等を目的とした非営利団体で、米国イリノイ州に本部があり、日本には,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,東京、名古屋、大阪に支部がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　試験の運営は、米国本部と各支部が担当している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 17,CIA（公認内部監査人）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　米国の内部監査人協会（The Institute of Internal Auditors）の実施するCIA(Certified Internal Auditor=公認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,内部監査人）試験に合格し実務経験等の要件を満たしたものに授与される称号である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　CIA試験は、日本では日本内部監査協会（Institute of Internal Auditors Japan=IIA-J）が実施し、日本語で受,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,験できる。試験科目は①監査理論及び実務、②内部監査の技術及び手続き、③経営管理と情報技術、④監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査環境の四つで、各3時間半で2日間の試験である。科目単位の合格が認められる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、日本内部監査協会では、システム監査関連では「情報システム監査専門内部監査士」の認定制度を、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,1988年から実施している。認定のための講習会が8日間（45時間）あり、終了論文を提出後資格審査委員会に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,おいて審査され「情報システム監査専門内部監査士」の照合を授与される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 18,情報セキュリティ監査制度,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報セキュリティ監査は「情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクア,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,セスメントに基づく適切なコントロールの整備、運用状況を、情報セキュリティ監査人が独立且つ専門的な立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,場から検証または評価して、もって保証を与えあるいは助言を行うこと」と定義される。このような監査を行うた,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,めに制度化された情報セキュリティ監査基準、同管理基準、同監査企業台帳など一連の経済産業省の施策,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,をいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報セキュリティ監査の定義は新たに策定(2003.4）された情報セキュリティ監査基準に定められている。経,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,済産業省は2002年9月より諮問研究会として「情報セキュリティ監査研究会」を設置して検討を行い、その成果,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,としてこの監査制度が出来上がった（2003.3.26）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　その主な点は、①情報セキュリティ監査のあり方、②情報セキュリティ監査の標準的な基準と監査主体のあ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,り方、③電子政府に対する情報セキュリティ監査のあり方、それぞれへの提示であった。関係資料としては次,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のとおりである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,１．監査基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　情報セキュリティ監査基準、同実施基準ガイドライン、同報告基準ガイドライン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,２．管理基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　情報セキュリティ管理基準、個別管理基準（監査項目）策定ガイドライン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,３．モデル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　電子政府情報セキュリティ監査基準モデル、同管理基準モデル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、本制度の運用開始を受け、監査企業や監査人、一般企業や団体が一同に会して特定非営利活動法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,人日本セキュリティ監査協会（Japan information Security Audit association=JASA）を設立している（2002年2,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,月）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、同協会は「公認情報セキュリティ監査人」資格制度（英語名称：Certified Auditor for Information,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Security 略称：ケイズ　CAIS）を創設した。同協会内に資格認定委員会を組織し、資格制度の運用並びに資,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,格認定を行うとともに、2004年12月から資格認定の前提となる知識・経験を習得するための研修・トレーニン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,グコースの開催、2005年2月より認定を始めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 19,システム監査基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経済産業省により策定公表（1985年策定、1996年改訂、2004年10月改定）されているもので、システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,業務の品質を確保し、有効かつ効率的に監査を実施することを目的としたシステム監査人の「行為規範」であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　1985年通産省（当時）によって策定され公表されたもので、システム監査に必要な事項を網羅的に示すガイ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ドラインとしての役割を果たしてきた。1996年1月に第1回の改訂、そして今回2004年10月8日に第2回の改訂,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が公表された。改定の内容はIT投資の目的が現場の合理化から経営革新へと大きく変化する中、国際的動,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,向も踏まえたものとなり、旧システム監査基準の実施基準の主要部分を抜きだして、『システム管理基準』に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,独立させた。それは組織体のシステムリスク低減のための実践規範、システム監査人の「判断の尺度」に位,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,置づけられている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　スリムになった新システム監査基準は、監査人の行為規範として位置づけられ、組織体の内部監査部門等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が実施するシステム監査だけでなく、外部に監査を依頼するシステム監査においても利用できる。また保証型,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査であっても、助言型監査でも利用できる内容である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　その構成は、次のようになっている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①前文,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査の位置付け、性格、システム管理基準の関係等の記述,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②システム監査の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査の目的の記述,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③一般基準（8項目）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　システム監査人としての適格性及び監査業務上の遵守事項を規定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④実施基準(7項目）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査計画の立案及び監査手続の適用方法を中心に監査実施上の枠組みを規定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤報告基準（5項目）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査報告に係る留意事項と監査報告書の記載方式を規定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 20,システム管理基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経済産業省により新たに策定公表（2004.10.8）されたもので、組織体が主体的に経営戦略に沿って効果的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,な情報戦略を立案し、その戦略に基づき情報システムの企画・開発・運用・保守というライフサイクルの中で、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,効果的な情報システム投資のための、またリスクを低減するためのコントロールを適切に整備・運用するため,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の実践規範であり、同時にシステム監査人の監査上の「判断の尺度」として位置づけられている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『システム監査基準』は2004年10月に2回目の改訂が公表された。改訂の内容はIT投資の目的が現場の合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,理化から経営革新へと大きく変化する中、国際的動向も踏まえ、システム監査基準の中の実施基準の主要部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,分を抜き出して、「システム管理基準」として独立させ、「システム監査基準」とともに姉妹編を構成することとな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,った。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この「システム管理基準」は、上述のように組織体の実践規範と位置付けられると同時に、システム監査基,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,準に従ってシステム監査を実施する場合のシステム監査人の「判断の尺度」となる基準でもある。なお、情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,セキュリティの確保の観点からの監査に際しては、情報セキュリティ管理基準の活用が望ましいとされている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム管理基準を分離した「システム監査基準」は、システム監査業務の品質を確保し、有効かつ効率的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に監査を実施することを目的としたシステム監査人の「行為規範」として位置づけられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム管理基準の構成は、前文に続いて次のようになっている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①情報戦略(47項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②企画業務(23項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③開発業務(49項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④運用業務(73項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤保守業務(19項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑥共通業務(76項目),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 21,金融機関等のシステム監査指針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　金融機関等がシステム監査を実施する場合に参考となる手引き・参考書として活用されているものである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,1987年、（財）金融情報システムセンター（The Center for Financial Industry Information Systems＝FISC）によ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,って作成され、2000年7月、大幅に改定された。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この新しい指針の構成は、以下の通りである。なお、第1部は7ページ、第2部は40ページである。第3部のチ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ェックポイント集も大部で、要点項目ごとに、①リスクは何か、②誰が、何をコントロールするのか、③どのよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,にコントロールするのかを記述した上で、大項目、小項目に分かれてチェックポイントと関係資料の例示があ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,第1部,,,,エグゼクティブサマリー,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,第2部,,,,フレームワーク,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,第Ⅰ章,,,システム監査の基本概念,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,第Ⅱ章,,,システム監査の実践,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,第3部,,,,チェックポイント集,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,1,,,情報システムの計画と管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,2,,,情報システムリスクの管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,3,,,情報セキュリティ,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,4,,,システム開発,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,5,,,システム運用,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,6,,,システム利用,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,7,,,入出力等の処理,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,8,,,EUC,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,9,,,ネットワーク,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,10,,,システム資産・資源管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,11,,,外部委託,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,12,,,コンティンジェンシープラン,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,13,,,ドキュメンテーション,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,用語の注釈　付録,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 22,システム監査企業台帳,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査を組織体の外部に委託する場合に参考にできるよう「システム監査企業に関する規則」（1991.,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,3制定）により経済産業省に登録された「システム監査企業台帳」が毎年作成されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　台帳を閲覧できるところは、従来は同省情報処理振興課、各地通産局機械情報産業課、都道府県立図書館,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、全国の商工会議所等であったが、現在はWebで公開されている。現在90社前後の企業が登録されているが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、それぞれ「企業概要」、「システム監査の実績」、「監査従業者の概要」、「システム監査の得意分野、特色」,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,等が記載されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお2003年より情報セキュリティ監査を実施する企業の任意登録制度として「情報セキュリティ監査企業台,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,帳」が創設されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 23,金融検査マニュアル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　金融機関等の法令等遵守を含むリスク管理体制を検査官が検証していく際に必要となる検査の基本的考え,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,方と具体的着眼点を整理した「金融検査官の手引書」である。金融庁では、信用、市場性、流動性、事務、シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステムなどの各種リスクに対応した検査マニュアルを用意しており、システムリスクについては「システムリス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ク管理態勢の確認検査用チェックリスト」がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　チェックリストは検査官用の手引書の位置付けであるが、金融機関等では自己責任原則の下、このチェック,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,リストを踏まえて更に詳細なマニュアルを自主的に作成し、業務の健全性、適切性の確保に努めることが期待,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「システムリスク管理態勢の確認検査用チェックリスト」の確認検査項目を列挙すると、Ⅰ．リスク管理に対す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る認識等、Ⅱ．適切なリスク管理態勢の確立、Ⅲ．監査及び問題点の是正、Ⅳ．企画・開発体制のあり方、Ⅴ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,．体制の整備、Ⅵ．外部委託管理、Ⅶ．防犯・防災・バックアップ・不正利用防止となる。このうち上記Ⅲの冒頭,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の記述を参考に例示する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,Ⅲ．監査及び問題点の是正,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,１．内部監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,(1)内部監査部門の体制整備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,①,システム部門から独立した内部監査部門が定期的にシステム監査を行っているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,②,内部監査部門は、システム関係に精通した要員を確保しているか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,また必要に応じてシステム監査とシステム以外の監査を連携して行う事ができる体制になって,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,いるか。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（注）,,「しているか」とあるのは、全ての金融機関に対しミニマム・スタンダードとして求められ,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,る項目である。,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 24,監査目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査を実施することによって達成しようとする事項または状態。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的とは、一つ又は複数の『監査テーマ』への取り組みを通し、その監査で達成しようとする事項または,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,最終的な状態をいう。すなわち、監査目的は、監査実施を通し達成しようとする直接的事項の他、監査を実施,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,し、指摘をして、その改善を通して最終的に到達しようとする状態を示す場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的は、当該監査活動の意義を示し、全ての監査活動のよりどころとなる。そして明確な監査目的は、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査活動を一貫としたものとする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、企業経営において戦略的な情報システムの活用を志向する企業では、「当社情報システムは経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に役立っているかを確かめる」、又は「当社情報システムを経営に役立たせる」などが監査目的の一例である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的は、監査実施に先立ち、監査を行おう、または監査を受けようと決める人（監査実施の意思決定者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,）がその内容を決定する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的から必然的に『監査対象』が導かれ、また、監査目的を基に『監査テーマ』が決定される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的は、その内容をより明確にするため、その内容をブレイクダウンし具体化した「監査目標」により補,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,足される場合もある。例えば、監査目的が「当社情報システムは経営に役立っているかを確かめる」の場合、「,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,現状の管理会計システムは経営に役立っているかを確かめる」などが監査目的を補足する監査目標の一例,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 25,監査テーマ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査目的』実現のために、何処に焦点をおき監査するかを表した、具体的な監査の主題。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査テーマとは、『監査目的』に基づき定められた、その監査で具体的に評価しようとする監査の主題である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。そして、監査テーマが、監査人が監査報告書において意見表明する具体的ターゲットとなる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査目的』が「当社情報システムは経営に役立っているかを確かめる」の場合、「管理会計システ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ムの安全性/有効性を確かめる」「管理会計システムは、タイムリーかつ適切な情報を経営者に提供できてい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,るかを確かめる」などが監査テーマの一例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査テーマは、監査実施に先立ち、監査実施意思決定者の意向、及び監査人が行う事前調査などに基づい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,て、監査人がその内容を検討し、監査実施意思決定者の了承を得て決定される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査テーマは、『監査範囲』、『監査項目』、『監査要点』設定の主要な要件となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査計画』のうち、『中長期計画』、『基本計画』においては、その期間に実施する監査において重点を置く『,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査テーマ』を「重点監査テーマ」として明確化する場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 26,監査対象,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査目的』達成のために、『監査手続』の適用範囲となり得る対象。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象は、『監査目的』から必然的に導かれる、『監査手続』の適用範囲となり得る全対象を意味し、その,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,切り口は、業務、システム、組織、人、物、場所など、『監査目的』によって様々である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査目的』が「当社情報システムは経営に役立っているかを確かめる」の場合、経営者、経営戦略,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,・情報戦略、計画中・稼働中の情報システム、情報システム部門、情報システムの利用者などが監査対象の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象は、『監査手続』の適用範囲となり得る全対象を意味し、監査人は、監査対象の中から、『監査テー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,マ』、及びスケジュール、投下可能資源（人、もの、金など）等の制約条件も考慮して『監査範囲』を決定する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 27,監査範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査対象』のうち、『監査手続』を適用する範囲。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査範囲は、『監査対象』の一部または全部であり、『監査テーマ』への取り組みのために、監査人が必要と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,判断した、『監査手続』の適用範囲である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査範囲は、監査人が、『監査テーマ』、及びスケジュール、投下可能資源（人、もの、金など）等の制約条件,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,も考慮し、『監査対象』の中から抽出する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査対象』が「経営者、経営戦略・情報戦略、全情報システム、情報システム部門、情報システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の利用者」で、『監査テーマ』が「管理会計システムは、タイムリーかつ適切な情報を経営者に提供できている,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,かを確かめる」の場合、利用者としての経営者（経営企画部門）、情報システム部門が遂行する開発・運用業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,務、管理会計システムなどが監査範囲を構成する例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 28,監査項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査範囲』の中から抽出された、『監査手続』が適用される個々の対象。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査項目は、『監査テーマ』への取り組みのために、『監査範囲』の中から監査人によって抽出された、『監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,手続』を適用する個々の対象である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査テーマ』が「管理会計システムは、タイムリーかつ適切な情報を経営者に提供できているかを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,確かめる」で、『監査範囲』が「利用者としての経営者（経営企画部門）、情報システム部門が遂行する開発・運,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,用業務、管理会計システム」の場合、利用者である経営企画部門の管理会計システムに対する評価・意見、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,管理会計システムのシステム運用実態、管理会計システムのシステム設計書などが監査項目の例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム管理基準に規定された各項目の見出しは、一般的な監査項目を示したものといえる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 29,監査要点,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,『監査項目』について、評価する内容。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査要点は、『監査テーマ』への取り組みのために、『監査項目』について、監査人が評価、確認する内容で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,あり、その監査における、『監査項目』の判断の尺度である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査テーマ』が「管理会計システムは、タイムリーかつ適切な情報を経営者に提供できているかを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,確かめる」で、『監査項目』が「管理会計システムのシステム設計」の場合、「システム設計書はユーザの承認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を受けているか」などが監査要点の一例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム管理基準に規定された小項目は、一般的な監査要点を示したものといえる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の実務では、『監査項目』その判断の尺度（『監査要点』）とを合わせて『監査項目』と表現する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,場合もある。しかし、『監査項目』と『監査要点』はその内容に本質的差異があるので、両者を『監査項目』と『,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査要点』に区分し定義することが、監査の構造、監査の理論体系を明確に整理する上で有効といえる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ３０,監査手続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査人が、『監査要点』に対する合理的な評価、結論を得るために、『監査項目』に対して監査技術を選択し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、適用する手順。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続とは、監査人が、『監査要点』に対する合理的な評価、結論を得るために、その十分な証拠の収集,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を目的として『監査項目』に対して行う、監査技術の選択、及び適用の具体的手順である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査手続では、『監査要点』に関する合理的な結論を得るために監査技術を選択し、その監査技術を『監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,項目』に対しいつ、誰が、どのようにして、またどの程度適用するかなどの具体的適用手順が明らかにされる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、『監査項目』が「管理会計システムのシステム設計」で、監査要点が「システム設計書はユーザの承,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,認を受けているか」の場合、管理会計システムのシステム設計書の査閲により、ユーザの承認の記録を確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,する、あるいは、ヒアリングによりユーザ部門の責任者に管理会計システムのシステム設計書の承認を確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,するなどが監査手続の例である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 31,監査計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『監査目的』を有効かつ効率的に達成するために立てられた、監査実施の計画。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査計画は、『監査目的』を達成するために監査を有効かつ効率的に行うための計画である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査計画は、一般に期間計画と『個別計画』に分けられ、期間計画は、『中長期計画』および『基本計画』（年,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,度計画）に分けられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査計画は、監査人が立案し、監査計画書として文書化され、監査依頼者の了承を得て決定される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 32,中長期計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　中長期の経営計画および情報化計画と対応した、数年間を見通した監査の期間計画。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　中長期計画は、『監査計画』の内の期間計画の一つに位置づけられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　中長期計画は、３～５年を展望した『システム監査』の実施方針、及び実施計画であり、監査対象組織体の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,中長期経営計画及び中長期情報化計画と連動し、中長期視点から情報システムのリスクに対するコントロー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ルが、適切に整備・運用されているかを監査する計画である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『中長期計画』の主な記載事項は、当該期間における『監査目的』、重点監査テーマ、『監査対象』（必要によ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,り『監査範囲』）、監査スケジュール（優先順位）、概算予算、育成計画を含めた監査要員計画、品質管理方針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,等が挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 33,基本計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『中長期計画』を基にした、当該年度の監査の期間計画。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　基本計画は、『中長期計画』に基づき、具体化された当該年度の監査年間計画である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　主な記載項目は、当該年度における『監査目的』、重点監査テーマ、『監査対象』（必要により『監査範囲』、『,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査項目』、『監査要点』）、監査スケジュール、予算、要員計画（実施体制）、品質管理計画等が挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 34,個別計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『基本計画』を基に実施する、個々の監査の計画。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画は、期間計画（『中長期計画』、『基本計画』）に基づき実施する個々の監査の計画である。個別計,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,画は、その監査の規模、複雑さにより更に具体化した実施計画に展開される場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別計画は、個々の監査活動の拠り所となる計画であり、主な記載項目は、当該監査の『監査目的』、『監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査テーマ』、『監査対象』、『監査範囲』、『監査項目』、『監査要点』、『監査手続』、監査スケジュール、予算、実,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,施体制、品質管理手法等が挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 35,システム監査規程・マニュアル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人がシステム監査を実施するにあたって、必要とするすべての規定や手順書類。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査マニュアルは、システム監査の品質向上や効率性向上、システム監査人のために、有効であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査マニュアルとしては、以下のものが挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査規程,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査実施要領,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査報告要領,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム管理基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,チェックリスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,各種ドキュメントフォーム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査ツール使用マニュアル　等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査マニュアルの記述内容としては、以下の項目が挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査の目的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査の対象（組織、業務、情報資産等）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査人の役割、責任、権限,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査人の資格要件、教育、訓練,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査人の倫理規定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査計画書の作成基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査実施基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査調書の作成基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査報告書の作成基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査結果のフォローアップ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査人の判断の尺度としてのシステム管理基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,他監査との調整指針,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,関連法制度、基準　等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 36,監査証拠（audit evidence）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査報告書に記載する監査意見を立証するために必要な事実。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査証拠は、監査調書として実在するものであり、物理的証拠、文書的証拠、文書化された口頭的証拠、分,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,析的証拠に大別される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　JIS Q 19011:2003では「監査基準、に関連し、かつ、検証できる、記録、事実の記述又はその他の情報。監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査証拠は定性的又は定量的なものがあり得る。」と定義している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（補足）監査基準（audit criteria）：一連の方針、手順又は要求事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、監査テーマを立証するために監査対象に監査技術を選択し適用し、監査証拠を入手す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。監査証拠とは、システム監査人の観察結果、インタビュー結果の記録、収集した資料、監査テスト結果等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のことである。監査テーマを立証するためには、十分な監査証拠が必要である。十分な監査証拠の要件として,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,は、妥当性、正当性、適切性、有効性が要求される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,妥当性とは、監査対象に精通した監査人であれば、同一の結論に到達するほどに、事実に基づき、妥,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,当で説得力のあること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,正当性とは、既存できる情報で、しかも適切な監査技法の実施を通して、最も達成可能なこと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,適切性とは、監査による発見事項や勧告を裏付け、かつ監査テーマと合致していること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,有効性とは、組織体がその経営目標を達成することに貢献すること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査証拠は、物理的証拠、文書的証拠、文書化された口頭的証拠、分析的証拠に大別されるが、それぞれ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,は以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,a.,物理的証拠とは、監査人が直接観察した事実。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,b.,文書的証拠とは、議事録、レビューシート、設計書、テスト結果、ログリスト等、書面で残っている書類。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,監査人によって収集される最も一般的なタイプの証拠。書類での証拠には内部あるいは外部のものが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ある。また、文書的証拠の形態としては、紙や電子媒体などが挙げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,c.,文書化された口頭的証拠とは、システム監査人の質問等に対する、被監査部門の書面または口頭で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,の回答を文書化し確認したもの。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,d.,分析的証拠とは、物理的証拠や文書的証拠などの関連性を分析したもの。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 37,監査証跡（audit trail）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　各コントロール機能が情報システムの信頼性、安全性、効率性、有効性の確保に結び付いていることを事後,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に実証するための手段。情報システムに関するさまざまな事象の発生から最終結果に至るまでの過程および,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,その逆方向の追跡が出来る仕組み。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査証跡とは、情報システムおよび情報システムを運用する手続きが持っている各コントロール機能が、情,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,法システムの健全性を確保することに有効であることを、事後に双方向で追跡し確認できる仕組みのことであ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。監査証跡から得られるものは時系列的な監査証拠になりうる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　具体的には、以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,トランザクション証跡,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　監査対象の情報システムの取引を選び出し、データ処理内容と処理結果の相互関連を追跡できる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,一連の仕組み。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,アクセス証跡,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　システム資源へのアクセスに関して因果関係を事後に追跡するための仕組み。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　システム監査人は、監査証跡の十分性、正当性、適切性、有効性を確認した上で、監査証跡によ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,り各種コントロール機能の有効性を確認する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 38,監査調書,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査において、監査人が作成し、または収集した資料。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査調書は、監査報告書を作成する基礎資料、立証するための資料となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、システム監査の計画立案もしくは監査契約締結から、監査業務の遂行を経て、監査報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,告書の作成に至る全過程において、監査証拠となりうる資料を作成・入手し、必要に応じて記録・編集して、監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査調書を作成する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が、監査調書を作成する目的は、次の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査業務の品質管理に役立てる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,監査責任者による監査担当者の業務を指導監督するのに役立てる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,次期以降の監査の合理的な実施を図るための資料として役立てる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査調書は原則として監査を実施した監査人が所有するが、被監査会社の許可なくして、その全部または,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,一部を他人に開示してはならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 39,準拠性調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経営管理者によって設定されたコントロール（規定及びマニュアル類に規定されている事項）の整備及び運,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,用状況の検証。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査における準拠性調査では、情報システムの運用手続やプログラムの処理の妥当性を内部統,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,制の観点より調査する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、準拠性調査の技法としては、以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,コンピュータを利用しない場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①証拠の調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　記録、書類、報告書等のように、特定のコントロールが正しく適用されたことを示す証拠を調査する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,こと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②再実行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　ある種の判断が行為の基礎となっている場合に、結果が同じになるかどうかを確認すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③視察,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　実際の業務の実施されている現場に行き、内部統制が守られていることを確かめること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,CAATを適用する場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①テストデータ法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②ITF法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③並行シミュレーション法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,④汎用監査ソフトウェア法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑤コード比較法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑥監査モジュール法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　準拠性テストの実施にCAATを適用する場合の留意点は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,・,情報システムの処理フローを十分分析し、監査目的、コントロール、実証性テストによる監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,手続との関連、監査リスク等を考慮して、対象とする運用手続、プログラム処理手続きを決定,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,・,対象とする運用手続、プログラム処理手続きに対しては、さらに運用フロー、システムフロー等,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,を参照のうえ分析し、対象とすべき運用手続名、プログラム名、マスターファイル名、取引ファ,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,イル名、入出力帳票、画面等を明確にする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,・,単純なプログラム処理の場合は、監査人自らがプログラムを作成し、並行シミュレーションによ,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,り監査するのが効率的である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,・,複雑なプログラムの場合は、種々の技法を複合的に利用する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 40,実証性調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの生成するデータ、意思決定者の利用度、情報システムが使用している資源等の直接的な検,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,証。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査における実証性調査では、監査の効率性、経済性、正確性の観点より調査する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、実証性調査の技法としては、以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,コンピュータを利用しない場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①再実行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　ある種の判断が行為の基礎となっている場合に、結果が同じになるかどうかを確認すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②実査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　記録された最終結果と現状の物理的な比較をすること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③証憑突合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　記録された最終結果より、その起因となった取引、トランザクションを示す伝票類にさかのぼり突き,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,合わせること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,④構成分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　最終結果を分類、集計することによって、その内容の理解を深めること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑤照合調整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　本来一致すべき2つの数字の間の違いを明確にし、説明すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,⑥カットオフテスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,　取引、トランザクションが適切な期間記録されているか判断するために書類等を検査すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・CAATを適用する場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,①汎用監査ソフトウェア法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,②ユーティリティ・ソフトウェア法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,③専用監査プログラム法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　実証性テストの実施にCAATを適用する場合の留意点は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査目的にあった明細の記録されているファイルを確保する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,ファイルとして入手したデータの合計値を確定する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,原始データのサンプリング自体の正確性と妥当性を、その証拠能力に応じて適時にテストする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,上記のステップで信頼性が確認されたファイルのデータを監査人の汎用監査プログラム等を用い,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,て、並行シミュレーションなどにより実行する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,例外データ、危険項目等の異常項目のみを論理的に抽出し、効果的な監査を実施することがで,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,きる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,計算、突合せ等の再実行は、全データに対して容易に実施することができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 41,精査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目標ごとに監査対象項目の全件に対して監査手続を適用する監査方法。精細に監査すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　精査とは、特定の監査手続の実施に際して、監査対象の母集団からそのすべての項目を抽出して、それに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,対して監査手続を実施することである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象項目を全件監査することは、かなりの手間がかかるため、期間と労力を必要とする。個別計画を立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,案する際、精査で監査を実施するのか、試査で監査を実施するのか決めておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 42,試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目標ごとに監査対象項目の一部に対してのみ監査手続を適用し、その結果に基づいて監査対象項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,全件の状況を推定する監査方法。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　試査とは、監査対象の一部を抽出して検討し、その適否をもって監査対象全体の適否を推定的に立証する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,方法である。試査の範囲を決定するためには、立証すべき監査テーマを設定し、入手すべき証拠資料の範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を決定する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　試査の範囲を決定する方法としては、以下のものがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・サンプリングによる試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　母集団の特性を代表するサンプルに対する監査手続の結果から、母集団全体の一定の特性を推定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,して母集団に関する結論を得る方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・特定項目抽出による試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　母集団に含まれる特定の性質を有する項目を識別して抽出し、これに対して監査手続を実施する方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・試験的試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査人が、内部統制の状況や監査対象の重要性、監査上の危険性、過去の実績等を考慮した経験,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,的判断により、試査の範囲を決定し、監査手続の適用の効果を評価する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・統計的試査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　統計理論に基づいて決定されたサンプル数を無作為に抽出して検査し、サンプル結果を確率論に基,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,づいて評価する方法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 43,実査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象である情報システムのドキュメント、プログラム、データ、要員などの実際の存在、数量、使用状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,等を確認する手続き。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　実査は、会計分野の専門用語であり、その意味は、企業の現物のある資産について、実際の存在、数量、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,使用状況等を確認する手続きのことである。一般には、現金や受取手形等がその適用範囲であるが、棚卸資,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,産や有形固定資産等にも必要に応じて適用される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の観点で見ると、情報資産についての実際の存在、数量、使用状況等を確認する手続きとい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うことになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 44,予備調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象の実態を明確に把握する調査のことで、本調査の円滑かつ効率的な実施を可能にするために行う,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,事前調査。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査の実施手順は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①監査対象の現状分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査対象業務やシステムの実態を次の点に留意し、現状分析する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査対象組織、各種規定類等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,監査対象業務やシステムの範囲,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,関連業務やシステムとのインタフェース,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,処理の流れ、データの流れ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,・,運用手続とコンピュータ処理のインタフェース,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②問題点の洗い出し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　監査テーマに対する被監査部門や組織体が目標とするレベルと現実のレベルとのギャップを識別して,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,、想定される問題点を洗い出す。この際、考えられる原因や改善策の実現可能性、費用対効果は考慮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,しない。問題点の分類・整理に留める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③本調査の見直し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　個別計画書で計画した本調査の範囲及び手続きを見直す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予備調査を実施する上での留意点は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,目標レベルの明確化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,潜在的問題点に対する注意,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,本調査での監査手続の詳細化及び具体化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 45,本調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的に則して対象業務の実態を調査・分析・検討すること。個別監査計画の監査項目を順次監査し、監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査の項目、監査手続、問題点、監査実施などを監査調書に記録する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査の実施手順は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①現状の確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　予備調査で得た心証について現状はどうかをシステム監査人自ら現場に行き確認する。その際、新,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,たな問題点の存在の可能性について配慮する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②監査証拠の入手,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　個別計画書に従って、予備調査で得た心証を裏付ける資料を収集する。監査目標を達成するために,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,必要な資料のみを入手し、不要な資料は入手しないようにする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　また、資料の入手に際しては、可能な限り被監査部門の協力を得る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③証拠能力の評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　入手した監査証拠は、当該監査目標を立証するために必要な証拠能力を備えているか否かを評価す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,る。証拠能力が不十分な場合、代替的な監査証拠の転用あるいは追加的な監査証拠の入手を検討す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,る必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査を実施する上での留意点は、以下の通りである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,積極的な現地調査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,被監査部門との十分な調整,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,個別監査部門の適時見直し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,監査調書の作成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 46,評価・結論,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　調査結果を踏まえて、監査対象の実態が監査目的に則して妥当であるか判断すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本調査終了後、調査結果を踏まえて評価する。評価をより正確に行うため、システム監査人は、監査結果を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,被監査部門との意見交換を通じて確認した後、自らの判断基準に基づいて最終結論を下す。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 47,チェックリスト法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が作成したチェックリスト（質問書）に対して、特定者より解答を求めること。（システム監査技,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　チェックリストは、チェック項目に対する有無のみを確認する場合に使用し、質問書については、チェック項目,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の有無も含めて質問項目に対する回答を要求する場合に使用する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個別の監査対象に対して、そのまま合致するチェックリストはないため、当該監査対象に精通したシステム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査人がカスタマイズする必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の各関係諸団体から公表されている基準・ガイドライン（システム監査基準、FISCのシステム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査指針等）を利用して、チェックリストを作成する場合が多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人には、適用対象組織体の業種、企業規模およびシステム規模等により、監査の目的を考慮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,する必要があり、監査対象の実態に適合するような質問内容・範囲に調整する能力が要求される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 48,ドキュメントレビュー法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　特定の情報を収集するために、関連する資料及び文書類をシステム監査人が自ら通査すること。（システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、事前準備の際、被監査部門におけるドキュメントの整備状況を確認して、どのドキュメン,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,トが利用可能かを明確に把握しておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ドキュメントレビューの目的は、監査テーマについての状況を調査する監査証拠を入手することである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、ドキュメント管理の監査として、ドキュメント（仕様書・変更依頼書等）の内容は、常に最新の状態を反,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,映しているかを調査し、文書管理状況（原本の保管）を確認する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 49,突合・照合法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　関連する記録間を突き合わせること、記録された最終結果をその起因となった事象を示す原始データまでさ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,かのぼり突き合わせること。（システム監査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　関連する複数の証拠資料を突き合わせる技法、記録された最終結果をその起因となる事象を示す原始デー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,タまでさかのぼって突き合わせる技法等である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、突合せ対象の関連する記録が、相互に同期していることを確認しなければならない。（プルーフリスト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,による照合、入力データと出力結果の照合等）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 50,現地調査法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が被監査部門へ赴き、そこでの作業状況を、自ら調査すること。（システム監査技術者育成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が自ら監査対象の現状を確認し、理解することが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　現地での調査は、システム環境（センター、事務所、工場等）における対象業務の始点および取引の発生源,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,から開始し、業務処理フローをトレースすることが効果的である。現地の業務の妨げにならないような注意が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,必要であり、スケジュール調整をする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 51,インタビュー法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　特定の事項を立証するために、システム監査人が直接、特定者に問合せ回答を入手すること。（システム監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が監査対象の実態を調査するためには、インタビューにより必要な情報が入手可能である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,効率よく必要十分な監査証拠を入手するため、あらかじめインタビュー対象部門・対象者を十分に検討し、質,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,問内容を吟味しておく必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　インタビューでのチェックリストの利用、インタビューに代わるアンケート調査、現地調査でのインタビュー等、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,各技法の適切な組み合わせを検討する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 52,コンピュータ支援監査技法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査業務の過程において、コンピュータを使用する技法を「コンピュータ支援監査技法（Computer ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Assisted Audit Techniques：CAAT）」という。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　コンピュータを利用したシステム監査技法は、システム開発のテスト等に利用している技法であり、システム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査人側においても、コンピュータ内部処理の正確性をチェックするために利用する技法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、技法によっては、システム監査時に利用する技法と、システム開発の段階で、あらかじめツールをシス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,テムに組み込むことが望ましい技法とがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 53,ユーティリティ・ソフトウェア法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ユーティリティ・ソフトウェア法は、システム開発・運用・保守業務の支援のため、主としてメーカーから提供さ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れるソフトウェア等を活用する技法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査目的によっては、ユーティリティ・ソフトウェア（テストデータ生成、テキストエディタ、ライブラリ・コピー、レ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ポート生成プログラム等）及びアクセス管理ソフトウェア等を活用する技法がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　しかし、ユーティリティ・ソフトウェアを利用するためには、システム監査人に技術的に高いスキルが要求され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 54,テストデータ法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　準備されたテストデータを監査対象プログラムに投入し、期待した効果が出力されるか否かを確認する方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。（システム監査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が事前準備したテストデータを監査対象のプログラムに投入し、期待した結果が出力される,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,か否かを検証して、プログラム処理過程の正確性を確認する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　特定機能に限定したテスト及び総合的な計算機能・コントロール機能のテスト等、システム監査人の判断に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,より範囲を限定することができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、テストしたシステムが実際に稼働しているものと同一であることを確認する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 55,汎用監査ソフトウェア法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　汎用監査ソフトウェアは、監査対象ファイルの検索、抽出、計算等、システム監査上使用頻度の高い機能に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,特化した、しかも非常に簡単な操作で利用できるソフトウェアのことであり、これは当ソフトウェアを利用する方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,法である。（システム監査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　汎用監査ソフトウェア（監査プログラム）は、システム監査人の指定した機能に従って、ファイルからデータを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,抽出して演算・比較を行い、レポート作成の機能を有し、汎用監査プログラム・パッケージとして開発される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　提供される機能には、ファイルのアクセス・再編成、データの選択、統計的サンプリング、演算・比較（定量的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,分析）、層別分類と詳細分析、ファイル処理（整理）、レポート作成等がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 56,監査モジュール法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象ファイルよりシステム監査人が指定した抽出条件に合致したデータをシステム監査人用ファイルに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,記録し、レポートを出力するモジュールを、本番プログラムに組み込む方法。（システム監査技術者育成カリキ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査モジュールは、監査用のモジュールを組み込み、監査人がパラメータで指定した抽出条件に合致し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,たデータが通過する際に、このデータを抽出して、システム監査人用ファイルに記録するプログラムである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 57,ITF法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査対象ファイルの中にシステム監査人用の口座を作り、その口座に各種の操作をして処理の正確性を確,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,認する方法。（システム監査技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ITF法（Integrated Test Facility：統合テスト法）は、別称ミニカンパニー法とも呼ばれ、その結果をあらかじめ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,手作業にて得られた正しい結果と照合するという方法であり、オンラインシステムをテストする技法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　実稼働中にテストデータを実データと共に入力して処理するため、いずれかの段階でテストデータを除去す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る必要がある。テストデータが業務処理及び記録等に影響を与えないように留意する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 58,並行シミュレーション法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　特定の監査目的を検証する機能を持ったプログラムを、システム監査人側で独自に準備し、それと監査対,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,象プログラムに対して同一のデータを入力して、両者の実行結果を比較する方法。（システム監査技術者育成,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　並行シミュレーション法（Parallel Simulation）は、アプリケーションプログラムのすべての機能をテストするの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ではなく、システム監査人が監査目的のために、必要と認める機能のみを対象としている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この技法はプログラム機能（入力確認手続き、処理理論、コントロール等）をシミュレートするため、テスト用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,プログラムを用いて本番データを処理する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　本番の適用業務システムをシミュレートしたテスト用プログラムの作成が必要となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例として、在庫量が基準値以下になると、自動発注するような取引の自動生成ロジックテストに効果的であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 59,コード比較法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　あらかじめシステム監査人によって検証されたプログラムと監査対象プログラムとを、コーディングのレベル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,で1行ずつ比較して、監査対象プログラム改ざんの有無（ロジックの正確性）を確認する技法。（システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,技術者育成カリキュラム）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　コード比較（Program Code Comparison）法は、本番用プログラムを、監査用プログラムと比較して、その正当,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,性を検証する技法である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ソース・コードあるいはオブジェクト・コードについて行われるが、使用中のプログラムとドキュメンテーション,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の間に差異がないかどうかの調査が可能である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　コード比較には、ソース・コードの2世代間比較、本番用オブジェクト・コードの2世代間比較、本番オブジェクト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,・コードと監査用オブジェクト・コードの同一世代間比較、本番用オブジェクト・コードと監査用オブジェクト・コー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ドの2世代間比較の4形態がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 60,ペネトレーションテスト（penetration test）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　無権限アクセス（不正アクセスを含む）からシステム資源が守られていることを確認するため、一般ユーザの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,アクセス権限あるいは無権限で、テスト対象システムへの侵入を試みる技法である。模擬（疑似）侵入テストと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,もいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システムの脆弱性を発見するには、非常に有効な技法である。専門会社に委託してペネトレーションアタック,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を行う際、外部システムへの不正アクセス、情報の漏えい等が発生しないよう事前に契約書を交わす必要が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 61,総合評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査テーマに対する監査対象の状況についての、システム監査人の評価・結論の内容。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『予備調査』、『本調査』で得た『監査証拠』を分析した結果として、『監査テーマ』に対する『監査対象』の状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,についてシステム監査人が『評価・結論』としてまとめた内容であり、システム監査報告書の中に記載される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　評価には合理性、納得性、客観性、専門性が要求される。合理性は、適切な『監査手続』に基づいて十分な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,調査が行われていることによって得られる。納得性は、評価が明確な事実（監査証拠）に基づいて下されてい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ることによって得られる。客観性は、システム監査についての高い専門技術を持ったシステム監査人が評価を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,行っていることによって得られる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、評価・結論の内容を『監査依頼者』に報告するにあたっては、定性的な評価だけではなく、3段階ある,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いは5段階などの定量的評価も含めた方が、評価・結論の内容が明確に伝わり改善に結びつきやすい。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 62,指摘事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が、『予備調査』および『本調査』の結果を踏まえ、自ら設定した合理的な判断基準に基づい,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,て問題であると判断した事項。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、『予備調査』および『本調査』を通じて入手した『監査証拠』を『監査目的』に照らして分析,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,・評価し、その結果をシステム監査報告書にまとめて『監査依頼者』に報告する。システム監査人は、『監査証,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,拠』を分析・評価した結果として、『監査対象』において問題であると判断した事項を、システム監査報告書に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,記載する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これが指摘事項である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、『予備調査』および『本調査』の結果、『監査対象』において問題であると判断した事項は,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、小さな問題であっても指摘すべきである。小さな問題であっても、将来大きな問題に発展する可能性もある,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,からである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ここでいう「問題」とは、監査計画で設定した監査基準と調査した結果とのギャップである。そして、定義にあ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る「判断基準」には、次のようなものが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,調査によって分かった事実がギャップに該当するかどうかの判断基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ギャップを指摘事項にするかどうかの判断基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,指摘事項を改善事項にするかどうかの判断基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善事項を緊急改善と通常改善に切り分けるときの判断基準,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　定義で「自ら設定した判断基準」といっているが、監査実施組織が所属するシステム監査人の経験を集めて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、監査実施組織としての判断基準を設けることは、判断の均質化が図れて有効である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、システム監査報告書に指摘事項を記載するにあたって、以下の点に留意が必要である,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,問題であることの『監査証拠』による明確な裏付け,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,被監査部門との意見交換による問題点についての事実誤認の排除と共通認識の確立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、監査テーマとは直接関係ない事項について、『予備調査』、『本調査』を通じてシステム監査人が知り,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,得た事実のうち、システム監査人が『監査依頼者』に報告した方がよいと判断したことがあれば、補足意見と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いう形でシステム監査報告書に記述して報告することがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 63,改善事項,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が、『指摘事項』の中で改善が必要であると判断した事項。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『指摘事項』をすべて改善しなければならないかというと、それは『監査目的』やその背景にある経営目的（経,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,営戦略の実現、経営目標の達成、経営課題の解決）に基づいて判断する必要がある。システム監査人が、そ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うした判断によって改善が必要と判断した『指摘事項』が改善事項である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、改善事項の指摘にあたって、被監査部門と改善の必要性についての共通認識をもつよ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うに努めなければならない。また、改善事項に対して『改善案』を提示することも、システム監査人の重要な責,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,務である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 64,改善勧告,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が、システム監査報告書に『改善事項』および『改善案』を記載し、『監査依頼者』に対して問,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,題の改善を勧めること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人がシステム監査報告書に『改善事項』を記載するということは、その問題は現状のままで放,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,置しておくことはできないと判断したということである。そして、改善勧告は、そのことを『監査依頼者』に伝え、『,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査依頼者』から被監査部門に対する改善指示を勧めることである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善勧告によって、報告を受けた『監査依頼者』には改善実施の判断および改善指示の責任が、被監査部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,門には改善指示を受けて改善実施の責任が生じる。一方、システム監査報告を行ったシステム監査人は、被,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,監査部門が行う改善活動に対する『フォローアップ』を行う必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、改善勧告および『改善案』の記載にあたっては、改善の実施を促進する明瞭、積極的か,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,つ説得力のある記述に留意する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 65,緊急改善,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』のうち、システム監査人が重大な問題であり、技術面・経済面から見た改善の実現可能性、改,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,善にかかる投資対効果などを考慮した上で、速やかな改善実施が必要と判断した事項。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善事項』を改善するためには、経営資源の投下が必要であり、すべての『改善事項』に対して同じ緊急度,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、優先度で改善を実施することは効率的ではない。システム監査人は、『監査目的』を踏まえ、『改善事項』の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,問題の大きさ（緊急性、重要性）を基本に、改善の実現可能性などを考慮した上で、緊急改善と『通常改善』に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,分けて、メリハリのある『改善勧告』を行う必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　問題としてはそれほど大きくはないが、すぐに改善でき効果が期待されるものを緊急改善にして、改善実績,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を作るという方策もときには効果的である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、『改善事項』によっては、根本的な改善（恒久対応）には時間がかかるので通常改善とするが、問題と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,しては放置できないので最低限の改善（暫定対応）を緊急改善とするということもあり得る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 66,通常改善,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』のうち、システム監査人が『緊急改善』と判断した以外の事項。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　速やかに改善を実施する必要はないが、問題が存在していることは事実であり、計画を立てて改善を実施し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ていく必要のある『改善事項』である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　重要性からいうと『緊急改善』に相当する問題であっても、改善に長期間あるいは多大な投資が伴うものは、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,通常改善として段階的改善を検討させることが現実的な場合もある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 67,改善案,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』を行うに際して、システム監査人が考えた『改善事項』に対する改善方法の案。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善事項』に対する改善方法を検討・策定し、『改善計画』にまとめることは、改善を実施する部門（通常は,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,被監査部門）の責任である。システム監査人は、改善を実施する部門の改善活動に対する支援の一環として,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、今までの経験に基づいて『改善事項』に対する改善方法の案を提示する。それが改善案である。改善案の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,立案にあたっては、システム監査人は、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善案の有効性（問題解決の効果の大きさ）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善案の実現可能性（技術的困難さ、改善を実施する部門の成熟度などを考慮）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,改善案の投資対効果,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を考慮することも必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 68,意見交換会,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査報告書を監査依頼者に提出する前に、システム監査人と被監査部門との間で、システム監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,報告書（案）の内容について意見を交換する場。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　意見交換会は以下の目的のために実施する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査報告書（案）の内容について事実誤認がないことの確認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,システム監査報告書（案）の『指摘事項』、『改善勧告』、『改善案』に対する被監査部門の意見の聴取,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,被監査部門としてシステム監査報告書（案）に記載してほしい事項についての意見聴取,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ただし、意見交換会はあくまでも被監査部門の意見を聞く場であり、システム監査報告書（案）のレビューを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,行う場ではないことに注意が必要である。被監査部門の意見を聞いたうえで、システム監査人は自らの判断,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,基準と責任において、システム監査報告書を完成させなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 69,監査報告（audit reporting）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人がシステム監査の結果をシステム監査報告書にまとめ、『監査依頼者』に報告すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告の方法としては、『監査報告会』を開いて、システム監査人がシステム監査報告書に基づいて報告,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,する方法が一般的である。場合によっては、『監査報告会』を開かず、システム監査報告書を『監査依頼者』に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,提出することで監査報告とすることもある。また、『監査依頼者』に対する報告以外に、被監査部門の責任者に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,対する報告、被監査部門の関連部門の責任者に対する報告、監査役に対する監査報告など、組織体の状況,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,や監査の目的に応じて、さまざまなケースがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 70,監査報告会,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人が、システム監査報告書に基づいて、システム監査の結果を『監査依頼者』に報告する場。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告会には、『監査依頼者』（民間企業であれば組織体の長、自治体であれば首長など）およびCIO（情,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,報統括役員）、被監査部門の責任者が出席するのが一般的である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告会は短時間であること、出席し報告を受けるのが組織体の長や首長、上級管理者であることから、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,システム監査報告書を逐一報告するのではなく、重要なポイントに絞って報告することが有効である。そのた,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,めに、システム監査報告書の重要な点をまとめた上級管理者向サマリ版を作成することは、よく採られる方法,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 71,フォローアップ（follow-up）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』に対する改善活動が『改善計画』の通りに行われるよう、システム監査人がシステム監査人の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,立場で支援・指導すること。システム監査基準では、「改善指導」という言い方をしている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は『監査報告』によって終了となるのではない。システム監査人が監査報告書に記載した『改,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,善勧告』に対する改善が実施されてはじめて、システム監査を実施した意義が生まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』に対する改善活動を計画・実施することは、改善実施部門の役割である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は自らが行った『改善勧告』に対する改善活動が計画通りに実施されるよう、改善実施部門,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の改善活動の状況を定期的に確認し、改善実現のためにシステム監査人の立場で支援・指導する必要があ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。システム監査人は、立場上、改善実施部門が行う改善活動に直接参加することはできないが、改善活動,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が計画通りに進んでいない場合、改善活動を円滑に進める方法を提案する、改善実施部門や関連部門の責,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,任者に改善活動の円滑な実施について要請を行うといった行動はとることができる。これが、システム監査人,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の立場での支援・指導である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ここでは、被監査部門と区別して改善実施部門という表現を採った。多くの場合、被監査部門が改善実施部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,門となるが、まれに、被監査部門以外が改善実施部門になることもある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『内部監査』の場合には、監査部門がフォローアップ活動を行う。『外部監査』の場合には、一般的には『監査,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,報告』までを外部監査企業と契約するが、フォローアップ活動を含めて契約し、外部監査企業が定期的なフォ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ローアップ活動を行う方法もあり得る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　しかし、多くは、組織体の中のしかるべき部門（監査部門や経営管理部門など）が改善活動の状況を把握し,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、外部監査企業には次の監査の機会に前回の『改善勧告』に対する改善実施状況を含めて監査してもらうと,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いう方法が採られる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 72,改善計画,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査報告書に記載された改善勧告に対して、『監査報告』を受けた『監査依頼者』が改善指示を出し、その改,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,善指示を受けた改善実施部門が改善の実施を計画すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』に対する改善の実施には経営資源が必要であり、改善実施部門では、『改善勧告』の重要性・,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,緊急性に加えて経営資源の状況も考慮した上で、『改善勧告』に対する改善実施の優先度を決定し、改善計,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,画を策定する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は改善計画書を入手し、その妥当性を確認し、問題があれば改善実施部門に再検討を助,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,言する。これも改善活動に対する支援・指導であり、『フォローアップ』の一環である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　最終的には、改善計画は改善実施部門の長、および組織体の長によって承認され、改善実施部門は改善,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,計画に基づいて改善活動を実施する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 73,改善措置,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『改善勧告』に対する改善策として、改善対象のシステムや業務プロセスなどに対して行われる変更。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善措置は、改善実施部門で検討・策定され、『改善計画』に盛り込まれる。改善実施部門は改善措置の検,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,討・策定にあたって、システム監査人がシステム監査報告書に記載した『改善案』を参考にする。システムに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,対する技術的変更、システムを活用する業務プロセスや活用ルールなどの運用面の変更、組織体や役割分,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,担の変更などの改善措置が考えられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 74,改善報告,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善実施部門が、『改善計画』に基づいて実施した改善活動の結果を報告書にまとめて報告すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善報告の方法としては、『内部監査』では、改善実施部門の責任者から直接、組織体の長に報告する方,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,法と、一旦システム監査人が改善実施部門から報告を受ける方法がある。『外部監査』では、一般的には前,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,者の方法だけである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　一旦システム監査人が改善報告を受ける場合には、システム監査人は改善報告の内容を確認し、改善報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,告書の内容に問題があれば、改善実施部門に再確認あるいは改善活動の追加実施を助言・指導する。さら,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に、システム監査人が改善結果について改善報告だけでなく、自ら確認する必要があると判断した場合には、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,『フォローアップ監査」を計画する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 75,フォローアップ監査（follow-up audit）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　改善実施部門が行った改善活動の結果（改善状況）を、システム監査人が改めてシステム監査手続を用い,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,て確認すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　フォローアップ監査の手順は、システム監査の手順と同じである。ただし、『監査対象』および『監査項目』は『,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,改善事項』に対する改善状況に限定する。それも、すべての改善事項を対象にするのではなく、『監査手続』を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,用いて監査することが必要と判断したものだけを対象に実施する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査のプロセスとして、『監査報告』から6か月後、あるいは1年後にフォローアップ監査を実施する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ことを決めて置くケースもある。この場合、改善実施部門はフォローアップ監査の実施時期を考慮して、『改善,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,計画』を策定しなければならない。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 76,助言と保証,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「助言」は、システム監査の実施を通して、『監査対象』の改善のための指摘を行うことをいう。「保証」は、シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステム監査を実施した結果として、『監査対象』の状況について一定の保証を与えることをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の目的は、『監査対象』の『監査テーマ』についての状況を、『監査手続』を使用して調査し、改,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,善すべき事項があれば指摘し改善につなげることである。これは「助言」に該当する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　最近の考え方として、システム監査人が監査結果として述べる意見・評価や『指摘事項』は、『監査対象』の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,状況について、第三者への開示を目的に一定の「保証」を与えるという考え方がいわれている。しかし、この場,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,合の「保証」は、システム管理基準などに基づいて組織体として設定した監査基準、採用した『監査手続』、サ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ンプリングで調査した中での「保証」であることに注意が必要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 77,監査依頼者,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査の実施を依頼あるいは指示した者。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『内部監査』の実施は組織体として決めるものであり、組織体の長（民間企業であれば社長、自治体であれ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ば首長）の指示に基づいて実施される。その場合、組織体の長が監査依頼者となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『外部監査』は、組織体の長が監査法人やシステム監査専門企業に依頼して実施する。この場合、組織体,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の長が監査依頼者となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、実態としては、組織体の長から監査実施の権限を委譲されたCIOや事業部門責任者が監査依頼者と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,なることもある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 78,安全性（safety）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムが安定かつ正常に稼働すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　安全性とは、情報システムの稼働を阻害するリスクに対して、情報システムが保護され、安定かつ正常に稼,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,働することをいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　安全性を高めるためには、通信システムやコンピュータシステムの運用に際し、安全性を阻害するリスクへ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の対応計画や施策を行う。最近ではネットワークの普及により、ウイルスやハッキングによる被害や外部から,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の不正侵入に対する安全対策の重要性が増してきているため、ネットワークセキュリティに対する安全性が話,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,題となっている。ネットワークセキュリティ以外のリスクとしては、通信機器やコンピュータそのものによるハード,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ウェアの不良、火災・水害、地震・停電、ハード・ソフトの設置環境、ソフトウェアのバグ、オペレーションミスな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,どの内部・外部の要因が掲げられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　安全対策とリスクには相関関係が認められており、リスクを評価することで安全対策の実施状況評価が可能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,となる。したがって情報資源のリスクに関するチェックリストを作成して安全対策を計画するとよい。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 79,可用性（availability）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　許可された利用者が、情報及び関連する資産にアクセスできることを確実にすること（JIS x 5080)。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　可用性とは、利用を許可されているユーザ（利用者）が、必要な時に、許可されている情報へのアクセス要求,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,をする場合に、アクセス可能とすることをいう。すなわち、ユーザが情報システムの機能や資源を必要とすると,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,きに、直ちにそれを使用できることである。情報システムが使用可能である状態を確保するための可用性対,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,策として、一部に障害が発生しても代替設備で運用を継続できるように装置を多重化したり、短時間（数分）で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,予備用装置に切り替えたり修復できるように準備しておくことなどが行われる。このため、24時間365日の連続,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,利用のニーズに対応する耐故障性を備えたコンピュータ（フォールトトレランスコンピュータ）も開発されており、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ネットワークを利用したビジネスなどに利用されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　可用性は、『機密性』、『完全性』とともに情報セキュリティの重要要素であるCIA（Confidentiality、Integrity、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Availability）の一つである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 80,機密性（confidentiality）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　アクセスを許可された者だけがアクセスできることを確実にすること（JIS x 5080)。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　機密性は、アクセスを許可された者だけがアクセスでき、アクセスを許可されていない者が利用できないよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,にすることである。情報の共有者（個人、組織体）以外の第三者（特に競合者）に、その情報が故意または偶,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,然の手段で知られた場合には、損失が生じる。また、アクセス権を持たない者がアクセスすると、情報改ざん、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,不正情報の混入や漏洩などの被害が生じてしまう。このような被害が起きないように、機密性を高める施策が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とられる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　機密性は保護の対象とする情報、情報を処理する機器や仕組みなどを議論する場面で考慮する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報に対する機密性では、企業や組織では機密情報の管理方針を策定し、全ての情報資源を機密区分す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ることが重要である。機密区分とは、情報資源の機密度に応じて、極秘、秘、社外秘、部外秘などに区分され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。情報システムでは、情報資源の機密度に応じてアクセス権限や利用者を区別する。この機密区分に基づ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いて、情報の利用（閲覧、変更、加工）、配布、持出・持込、保管、消去、廃棄に関する手順を定める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　通信処理における機密性は、ISOが定義するOSIネットワーク管理の5つのカテゴリに分けて機密管理、課金,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,管理、構成管理、障害管理、性能管理することが一般的である。暗号化処理での機密性とは、目的とする受,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,取人以外の人がメッセージを読み取れないようにすることである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　この様に機密性は、システム監査の対象、機能や目的に応じて具体的な意味は異なってくる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　機密性は、『完全性』、『可用性』とともにCIA（Confidentiality、Integrity、Availability）の一つである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 81,完全性（integrity）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報及び処理方法の正確性および完全性を保持すること（JIS x 5080)。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　完全性とは情報および処理方法が正確であるようにすること、および、その正確である状況を保持すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,つまり、許可されていない利用者、または内部利用者によって情報が改ざん、または破壊されたりしないよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,にすることにより、情報の正確性と完全性を常に維持すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（参考）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　OECD（経済協力開発機構）のセキュリティガイドラインでは、「情報の『機密性』、完全性、『可用性』を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,確保し、維持すること」と定義されており、情報セキュリティに関しては、この『機密性』、完全性、『可用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,性』の定義がCIA（confidentiality、integrity、availability）として広く利用されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　『機密性』、完全性は「情報を守る」ことに力点を置いた考え方である。例えば、不正アクセスによるホ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,ームページの改ざんは、完全性が欠落していることになり、情報セキュリティ上の欠陥があることにな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,る。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　CIAのうち、一つの要件でも欠落すると、情報セキュリティとして機能しなくなる。例えば、DoS攻撃にってサー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,バ利用が不能になると、『可用性』が喪失したことになり、情報セキュリティ上の欠陥があることになる。ネット,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ワークから個人の信用情報が漏えいしたならば、このネットワークは『機密性』を喪失し情報セキュリティ上の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,欠陥があることになる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 82,戦略性（strategic）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織や企業の目標達成のため、長期的な価値や理念に基づき、情報技術（IT）の導入や情報システムの開,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,発運用を行うこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　戦略性とは、組織や企業が存続・成長し、価値を増大させるための目標を達成するため、長期的な価値や,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,理念に基づき、ITの導入や情報システム開発運用を行うこと。組織や企業ではITの導入や情報システム開発,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,運用が、経営戦略の一環として計画され実行される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　事業環境や情報技術が急速に変化する中で、戦略性の重要度が増している。インターネット技術に代表さ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れるITを活用し、これまで以上の『ビジネスプロセス』効率化や活性化を図り、企業や業界を超えたコラボレー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ション、新しい『ビジネスモデル』の創造や事業価値を創出するには、組織や企業全体で選択と集中の判断を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,明確にして限られた資源を投入し、優先的に取り組む必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　そのためには業務処理の効率化や省力化のようにコスト削減を構築目的とした従来の情報システムではな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,く、利益の創出、競争力強化を目的とする視点が必要である。ダウンサイジング/ライトサイジング、分散処理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,からBPR（Business Process Re-engineering）やERP（Enterprise Resouce Planning）のように新しい概念を取り,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,入れた全体システムを構築する。このため、業務プロセスや情報システムを戦略性の視点から評価し、今後,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の指針を得るため、システム監査は有効な手段となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査は被監査部門から独立した立場で行われ、トップマネジメントの視点で、情報システムが経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に貢献しているかどうか判断するため、従来の『安全性』、『効率性』、『完全性』、『信頼性』、『可用性』、『機密,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,性』、有用性と併せ、戦略性を考慮して調査し、あるべき姿を総合的に描くことが必要である。またシステム監,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,査人には、自ら形成した判断基準に照らして評価し、戦略上の問題点についても説得力のある改善勧告を行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,うことが求められる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 83,有効性（effectiveness）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムが、当初の目的通りに機能していること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　有効性とは、情報システムが、機能面、経済面だけでなく、当初の目的通りに『安全性』、『効率性』、『信頼,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,性』、『可用性』、『機密性』、『完全性』、有用性、『戦略性』の観点から経営に役立っていることである。情報シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステムの有効性を評価する指標として、投資効果が測定される。しかし、情報システムは多くの側面で利用さ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れ、その効果は複合的に表れるため、投資効果の測定方法を確立している企業は少ない。情報システムの有,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,効性は、省力化という定量的な成果から時間短縮、機能向上、機密保全、経営戦略の部分などの定性的な貢,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,献が求められるようになり、また投資の時期から遅れて効果が生じるため、効果測定の評価尺度が複雑であ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,るからである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　有効性の判断基準は事業環境や適用する情報技術により変化するので、従来システムと同様な視点から,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のやり方を繰り返すことは、企業の競争優位を損なう危険性を増す場合がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　投資をしてコンピュータを導入しても、開発した情報システムが現場に適応しておらず使えなかったり、全体,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の作業効率を低下させたり、という例は少なくない。システム部門の組織活動やシステム開発や運用のアウト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ソース状況を確認するには、システム開発投資に対して『効率性』・有効性の視点を重視して診断する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 84,遵守性（observance）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの開発や運用、情報システムの利用が、法規制や外部のルール、組織内部の方針やルール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に沿って実施されていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　遵守性とは、情報システムの開発や運用、情報システムの利用が、法律・規則や外部のルール、組織内部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の方針やルールに適合し、運用されていることがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの開発や運用、情報システムの利用は、法規制や所属する業界や地域社会などの外部のル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ールに従うことで適法性を維持し違法性から逃れ、利用者の信頼を得る。また自ら定めた組織内部の方針や,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ルールに沿って実行されることで、『内部統制』の側面で経済的利益を享受できる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 85,経済性（economy）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムの開発や運用、利用が、適切な費用でまかなわれ、また利用部門に対して金銭で換算できる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,価値や効果を与えていること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経済性とは、情報システムの開発や運用、利用が、適切な費用でまかなわれ、また利用部門に対して、情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,システム利用による価値や効果を金銭で換算し満足する状態にあることである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムを開発運用し、利用するためには、設備投資、設備やサービスの利用料、人件費などの費用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が発生する。これらの費用が高いか安いかは、経済的な合理性により判断される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システムが企業活動の中核とされる機能の多く（基幹システム）を担うようになり、また企業経営の中で,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,情報通信システムの開発運用に要する費用が占める割合が大きくなってきた。従って過剰な情報投資は無い,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,か、予定された効果を提供しているか、不必要な二重作業や重複機能はないか、セキュリティ被害発生時の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,回復処理で発生する費用は課題とならないかなど、情報システムの開発や運用面で経済効果を確認する場,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,面が増加している。情報システムの利用形態は、生産、販売、在庫、調達、経理などの多用な場面でネットワ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ークを経由して多岐にわたる。したがって、情報システムの開発や運用、利用が、適切な費用でまかなわれて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,いること、また利用部門に対して金銭で換算できる価値や効果を与えており、利用者が経済効果を把握し、そ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の投資効果に対して満足していることがポイントとなる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 86,効率性（efficiency）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　情報システム及びその設備、施設、要員の資源を最適に活用すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　効率性とは、情報システム、情報システムを開発・運用する設備、施設、要員などの資源を最適に活用する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ことである。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　投資をしてコンピュータを導入しても、開発した情報システムが現場に適応しておらず使えなかったり、全体,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の作業効率を低下させたり、という例は少なくない。高度で複雑な情報システムや通信システムの運用では、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,サービスの継続性や事業の継続性に影響を与える事態も発生している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　このため情報システムの資源を有効活用し、投資対効果を高める工夫が求められている。システム監査は、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,システム開発投資や運用に対して効率性・『有効性』の視点から診断し、システム部門の組織活動やシステム,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,開発の運用状況を確認するので、極めて有効である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 87,信頼性（reliability）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システムの不具合やハードの障害により情報システムが正常な機能を停止し、異常な出力結果になることを,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,防ぐこと。また、障害発生時には損害に直結しないよう対応し、被害が拡大しないようにすること、速やかに復,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,旧すること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　信頼性とは、システムの不具合（例えば、プログラムミス、設計エラーなど）やハードウェアの障害により情報,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,システムの正常なサービスが停止したり、異常な出力結果になることを防ぐことをいう。実際にトラブルが発生,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,したときには、損害に直結しないよう、また被害が拡大しないようにすること、速やかに復旧することを含む。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　IT活用が進み、情報システムの重要性が増すほど、落雷・洪水・地震等の自然災害や回線の故障、人的な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,操作の誤り等によってシステムがダウンした場合の損失は重大となる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　このような環境下では、情報システムの『安全性』や信頼性がどのレベルにあるのかを把握し、事前にこれら,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のリスクを推定し、事業への影響を最小限にとどめるため想定される事故や災害に備えておくことが重要とな,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,る。しかし、現在では情報システムが複雑化し、機能停止に陥った場合、手作業による回復処理は不可能な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,場合が多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　そこで、障害発生防止や信頼性を高める対策として、厳重なシステムテスト、機器構成や通信回線の多重化,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、バックアップセンターの設置などを行う。また訓練や定期点検などの事前対策や障害発生後の回復手続等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の点検・評価を行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 88,業務処理統制（application control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　個々の業務処理システムの入力、処理、出力について『安全性』、『信頼性』、『効率性』を確保するためのコ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ントロール。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務処理統制は、個々のアプリケーション・システム（業務処理システム）において、開始された取引が承認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,され、漏れなく重複なく正確に入力され、処理・出力されることを確保するために行う統制活動である。『全般,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,統制』と対比される考え方であり、アプリケーション・コントロールとも呼ばれる。情報システムのコントロールは,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、情報システムの『安全性』・『信頼性』・『効率性』に影響を与えるリスクを適切に処理する仕組みのことであり,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、一般には設備面・技術面・運用管理の面から設計されている。このコントロールは、エディットテスト、合計、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,照合調整、識別、過誤・不明・例外データの報告等から構成されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　日常の業務活動は、業務処理から生じる情報、業務を行う人の活動、及び情報の入出力、処理等をコンピュ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ータ上で行うアプリケーション・システムが組み合わさって機能している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査人は、各『ビジネスプロセス』の内容を理解し、ITのコントロール目標が設定されているか、目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,と実態を比較するチェック体制が整備されているかなどにより、業務処理統制を確認する。また、アプリケーシ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ョン・システムは、各業務システムの『ビジネスプロセス』ごとに作成されていても他の業務と連携している場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が多いので、例えば原価計算について会計処理だけでなく在庫システム、販売管理システム、売掛金管理シ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ステムおよび関係するシステムとのインタフェース処理を確認し分析する必要がある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 89,全般統制（general control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務活動全体を対象とする情報システムのコントロール。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　全般統制とは業務活動全体を対象とするコントロールで、ジェネラルコントロールとも呼ばれ『業務処理統制,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,』と対比する考え方である。従来、ITに関連する統制活動は、『業務処理統制』と全般統制に分けて考えられて,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,きた。全般統制は、ITを利用した情報システムが適切に運用管理されることにより、複数の『業務処理統制』が,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,有効に機能することを間接的に確保する統制活動である（COSOの定義）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　全般統制には、ネットワークの運用管理、アクセス・コントロールなどのセキュリティ管理、アプリケーションの,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,取得・開発・運用、外部委託管理などが含まれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 90,予防牽制機能（Preventie control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務の過程で誤謬や不正を生じさせる可能性のある行動や機会をけん制することで、事前に誤謬や不正の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,発生を防止する機能。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　予防牽制機能は、あらかじめ誤謬や不正の発生する機会を予防することで不正発生に至らないような組織,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,上の仕組みを機能させて、業務処理の過程で誤謬や不正を生じさせる可能性のある行動や機会をけん制す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ること。例えば、特定者に権限が集中することを避け、複数名により相互チェックすることで処理の誤りや不正,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が起きにくいようにする。誤謬適示機能と『修正回復機能』と同様に、『内部統制』を構成する3つの主要機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の１つ。ログをとること、教育、規程の整備、なども予防牽制の役割を果たす。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 91,誤謬摘示機能（editing control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務処理の過程で誤謬や不正が発生した場合にそのことを速やかに検知し、報告・警告する機能。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　誤謬摘示機能は業務処理の過程で誤謬や不正が発生した場合にそのことを速やかに検知し、報告・警告な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ど被害を最小限に抑えるために適切な対処が採れるようにすることである。『予防牽制機能』、『修正回復機能,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,』とあわせ、『内部統制』を構成する3つの主要機能の１つ。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　誤謬摘示機能は、プログラムによる誤謬摘示、記録や実在する資産との照合、発見された誤謬に関する適,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,切な措置の機能に分類される。例えば、入力されたデータが事前に定められた範囲の数値や基準と異なる,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,場合に、警告して入力訂正を促し、潜在エラーを解消する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 92,修正回復機能（recovery control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務処理の過程で誤謬や不正を発見した場合に、速やかな修正・回復を図り、組織体の業務活動に与える,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,影響を最小限にとどめる機能。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　修正回復機能は業務処理の過程で誤謬や不正を発見した場合に、速やかな修正・回復を図り、組織体の業,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,務活動に与える影響を最小限にとどめる機能である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　例えば、障害などの異常が発生した場合に、正常な元の状態に修復するための平均修復時間などの指標を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,使って、システムの保守の指針としても活用される。修正回復機能は、誤謬や不正が検出されることを前提と,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,して、検出機能と組み合わせて利用する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、修正回復機能は、日常的な回復機能と緊急回復機能に分けて考えるとよい。日常回復機能は、発生,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,頻度の高いデータの不整合や誤謬を修正する機能で、緊急回復機能は災害発生時など、発生するとダメージ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が大きく、回復にも多くの時間や費用を要する場合の対応である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　いずれの場合も、事前に対応可能な回復手続を定めておくことが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 93,守秘義務（obligation to keep secrets）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『機密性』のある情報を職務上知り得る立場にある者が、その情報を故意や過失により第三者に開示しない,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ようつとめる義務,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　守秘義務はシステム監査人のように『機密性』の高い情報を職務上知り得る立場にある者が、その情報を故,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,意や過失により第三者に開示しないようつとめる義務である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査上で知り得た秘密は洩らさない、監査の目的以外に利用しない、また第三者に利用されるよう,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,な状況に置かないことが大切である。システム監査人は職業的専門家としての正当な注意を払い、入手する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,情報を扱い、保管することが期待されており義務がある。守秘義務を確認するために、一般にはNDA（秘密保,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,持契約書）を相互に交わして会話や情報交換を始める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、守秘義務に関し、システム監査基準では、次のように定めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「システム監査人は、監査の業務上知り得た秘密を正当な理由なく他に開示し、又は、自らの利益のために,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,利用してはならない。」,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 94,職業倫理（professional ethics）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　監査人が専門家として備えるべき特定の使命、社会的責任あるいは行動規範。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　職業倫理はシステム監査人などの特定職業に携わる専門家が備える特定の使命、社会的責任あるいは行,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,動規範、また倫理的な活動規範のことである。システム監査人には倫理基準の遵守、守秘、公正不偏の態度,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、独立性等が要求される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　倫理は組織の倫理と個人の倫理とに区分され、組織の倫理は会社の構成員がある特定の行為を行うような,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,組織の定義や規則のこと。また、個人の倫理とは、個人がある特定の行為を行う上での使命、責務、社会的,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,責任や倫理観をいう。ここは、職業倫理は、特定の職業に従事する者が備えるべき倫理事項であり、個人の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,倫理を問う。例えば、倫理は次の様な場合に問題になる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,倫理上の問題についての一般的なビジネス上の理解,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,法規の遵守,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,利害衝突,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,接待費および贈与にかかる費用,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,顧客とサプライヤーとの関係(贈与やキックバックを与えたり、受け入れたりすること）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,社会的責任,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　なお、職業倫理についてシステム監査基準では、次のように定めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　「システム監査人は、職業倫理に従い、誠実に業務を実施しなければならない」,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム監査学会では倫理綱領を、日本システム監査人協会ではシステム監査人倫理規定を定めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 95,職務権限（job functions）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織及び職位ごとに定めた、職務上の指示・実行の及ぶ範囲と責任のこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　職務権限は、組織および職位ごとに定めた、職務上の指揮命令・指示・実行の及ぶ範囲のことで、通常、職,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,務規程で明文化されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　権限には責任が付随し、その責任は、職務遂行責任（Obligation）・結果責任（Responsibility)・報告責任,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（Accountability)に分類される。このうち結果責任・報告責任の追及されない権限は、濫用に繋がる。職務権,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,限を明確にしないことによって、指揮命令系統が混乱したり、権限が特定個人に偏重したりすることによる影,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,響は大きい。業務が円滑に進まないだけでなく、不正や誤謬が発生するリスクが高まる。小規模組織では、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,これらを兼務することがあるが、組織の規模がある程度大きくなってきた段階で『職務分掌』・職務権限を明ら,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,かにすることが重要である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 96,職務の分離（segregation of duties）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　『相互牽制』の観点から、職務をある組織またはしかるべき職位の要員に割り当て、1つの職務を2つの組織,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が交互に行ったり、1人の担当者が2つ以上の職務を兼ねることのないようにすること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　職務の分離は、『相互牽制』の観点から、職務をある組織またはしかるべき職位の要員に割り当てコントロー,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ルすること。例えば、次のようなコントロールが該当する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,1人の担当者が2つ以上の職務を兼ねることのないようにする（申請と承認、実行と監視）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,2人以上担当者が検査して処理する（入力と処理）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,1つの職務を2つの組織が交互に行う（検査）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　このように仕事上の責任を分散させることで、処理の誤りや違反行為を予防し、誤りや違反の事実を発見す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ることができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 97,職務分掌（job duty）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織及び組織を構成する役割や要員ごとの、業務処理過程における職務分担および責任・権限に関する定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,め。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　職務分掌は業務処理過程の職務分担と責任・権限について、組織および組織を構成する役割の単位や要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,員ごとに定めたもの。企業がある程度の規模になると、社長一人あるいは特定少数のものだけでは経営が立,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ちいかなくなる。そこで、分業（職務分掌）の必要が発生し、さらに分業が進んでくると、権限とその裏返しとし,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ての責任の問題が生じる。会社が小規模のうちは、社長が自分の思っていた通りに物事を判断し、進めること,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が出来る。しかし規模が拡大していくと、個人の能力の限界を超えた部分について機能しない事態が発生する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,。個人の管理能力の限界は、仕事の量、人の数だけでなく、扱う金額等によっても、発生してくる。そこで自然,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,と分業が進むか、分業を進めざるを得なくなり職務分掌と責任権限をどう定めるかの課題が起きる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　急成長会社の場合は、会社の成長のスピードに組織が付いていけないことがあり、規模の拡大が、権限の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,明確化や体制整備より速い場合は、必要に迫られて権限が分散してしまうこともある。歴史のある企業の場合,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、公式的に権限を委譲するための組織改革が事業環境の変化に遅れている場合も多い。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 98,相互牽制（separate control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務の遂行過程において、2名以上の従業員に分担させ、職務を分離することにより、不正や誤謬の発生を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,発見・予防し、あるいは自動的に検証できるようにした仕組みの総称。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　相互牽制とは業務の遂行過程において、2名以上の従業員に分担させ、職務を分離することにより、不正や,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,誤謬の発生を発見・予防し、あるいは自動的に検証できるようにした仕組みの総称。内部牽制ともいう。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　相互牽制は、取引を特定の人物のみで完結させずに、複数のものにより分担して行わせることにより相互に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,牽制させ不正や誤謬を防ぐことをいい、一般に、①物の管理と②お金の管理と③帳簿の管理を分離して、三,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,つのうち二つ以上の管理を兼任させないようにする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 99,内部統制（internal control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　業務の『有効性』と『効率性』、財務報告の『信頼性』、関連法規制への準拠という統制目的の達成に関して、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,合理的な保証を提供することを意図した、事業体の取締役会、経営者およびその他の構成員によって遂行さ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,れるプロセス。（COSO),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　内部統制の目的は、次の3つの統制目標の達成に対して合理的な保証を提供することにより、企業目的の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,実現を保証することにある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,業務の『有効性』と『効率性』（業務能率の確保）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,財務報告の『信頼性』（適正情報の確保）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,関連法規の遵守（コンプライアンスの確保）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経営者が定めた制度や組織、必要な手続きおよび諸規定等からなる経営の仕組みの総称でもあるが、COS,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Oフレームワークでは、「統制環境」「リスク評価」「統制活動」「情報と伝達」「監視活動（モニタリング）」を内部,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,統制の5構成要素としている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　さらにCOS-ERMでは戦略を加味して戦略、業務、報告、遵守に拡張している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　経営資源の適切かつ効率的な保全、正確な業務記録の作成と信頼ある業務報告、法令・規則への遵守を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,合理的に保証するために行うことが、内部統制の役割である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　したがって、望ましくない状況に陥ることを予防、早期発見、是正し、事業目的を達成するために組織、仕組,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,みや手続きとして用意することを意図している。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　会社の規模がある程度の段階に達する場合に、『職務分掌』と『職務権限』を明確にして組織機構を整備す,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ることである。内部統制では、分業体系化された組織単位がその組織目標達成のために正常に活動している,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,かどうかをチェックする。会計統制と業務統制は内部統制の機能である。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 100,外部統制（external control）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　法令・規則や業界団体など外部の利害関係者が定めた制度・組織・手続きや規定等により、特定組織の経,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,営管理の仕組みが影響を受けること。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　外部統制とは、法律や外部の利害関係者が定めた制度・組織、必要な手続きおよび諸規定等からなる経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,の仕組みの総称。経営資源の適切かつ効率的な保全、正確な業務記録の作成と信頼ある業務報告、法令・,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,規則への遵守を合理的に保証するために行う。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 101,ITガバナンス（IT governance）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ITを活用して経営効率を増進させる手段。経営統制の一つの手法で、経営者の承認を必要とする意思決定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,過程に関係する組織計画・手続きおよび方法。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,企業が競争優位性構築を目的に、IT(情報技術）戦略の策定・実行をコントロールし、あるべき方向へ導,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,く組織能力（1998年のBCG/通産省（現経済産業省）の「ITガバナンススコアカード策定支援プロジェクト,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,」）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,・,ITやそのプロセスにおけるリスクと利益をバランスさせながら価値を付加することによって、企業目標を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,達成するために、企業を方向付けし、コントロールする一連の関係構造とプロセス（COBIT3）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ITガバナンスとはコーポレートガバナンスの一環として経営効率を増進させるために行う、システム統制や会,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,計統制、『業務処理統制』などを含む経営管理のための統制手段が確立されている統制である。利益や経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,効率を最大化しリスクの最小化を目標とする。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　システム統制では、インターネットの普及に伴い、本社・工場・倉庫間などの企業組織内部の連携だけでなく,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,、企業相互間の業務連携が重要となり、相互の円滑な情報交換のため運用・技術、開発手法、セキュリティレ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ベル、サービスレベルなどの標準化された手順が重要になっている。システム監査はこれらの情報システムに,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,関連するリスクが適切にコントロールされているかを評価し、説明責任を果たすもの（システム監査基準、2004,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,）であり、ITガバナンスの実現に寄与する。例えば、システム統制では、企業が定める会計方法および会計処,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,理方法に沿って構築された会計システムや業務処理システムなどの情報システムを通じて、処理や転記の誤,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,りをなくし処理時間を大幅に短縮することや経営分析資料を提供することで業務効率を増進させ、迅速な経営,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,意思決定を支援する。一方、会計統制では、『内部統制』の一つである資産の保全および会計記録の『信頼性,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,』を確保するために組織計画や手続きを定める。このため会計統制では、会計記録の正確性と『信頼性』をチ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ェックし、定められた会計規則の遵守を促進して企業の財産を保全することに主眼が置かれる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　企業や組織全体の効率化や最適化を求めるためには、採用するITやIT活用方法にもルールや統制が必要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,であり、ITガバナンスの重要性を裏付ける。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 102,電子政府と電子自治体（e-Gov. and e-local Gov.）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　政府や中央官庁が実施する、IT活用による行政効率化と利用者の利便性向上のこと（電子政府）。同様に、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,地方自治体が実施する場合を、電子自治体という。IT活用とは、文書の電子化、ペーパレス化および情報ネッ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,トワークを通じた情報共有・活用に向けた業務改革を重点的に推進することにより、電子情報を紙情報と同等,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,に扱う行政であり、ITをツールとし、庁内業務の効率化、高度化を推進していくこと（e-Japan戦略）。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　電子政府では、政府が所有し管理運用する情報や手続きが電子的にも対応可能となり、市民や企業が必要,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とする行政手続きなどの行政サービスが電子的に実施され、また情報の開示提供などのサービスを電子的に,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,行われる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　2001年に政府IT戦略本部で決定されたe-Japan戦略では「世界最先端のIT国家に」という目標が掲げられ、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,霞が関WAN、総合行政ネットワーク（LGWAN）と、各都道府県、市町村までを接続したイメージが示された。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　2004年6月には、国の行政機関が扱う手続きの96％はオンライン化され、「電子政府構築計画」が改定され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,た。改定「電子政府構築計画」では、整備されたオンラインの基盤を活用し、オンライン利用の利便性を高める,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ため次の計画が策定されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（１）,,年間申請件数が10万件以上の手続きを重点に手続きの簡素化・合理化の徹底、業務処理の短縮,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,化を図る,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（２）,,電子政府の総合窓口（e-Gov）を活用したワンストップサービスを推進する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（３）,,IT導入による政府全体の業務・システムの最適化を戦略的・横断的に推進する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,（電子政府サービスの例）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,種類,,,,,電子サービスの名称と電子窓口,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,e-TAX,,,,,国税電子申告・納税システム,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,電子申請,,,,,政府の行政情報や行政手続きを総合的に案内する電子政府総合窓口,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,電子入札,,,,,各省庁へのサイトへもリンクしている。,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,各省庁別,,,,,総務省、国交省、厚労省　など,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　電子自治体では、自宅や職場で利用されているパソコンや、駅、コンビニ、図書館、公民館などの設置され,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,た端末機を操作して、市民や企業が必要とする申請、届出、サービス予約や証明書発行などの行政手続きが,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,できるよう、電子化され効率的に整理されることが期待される。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　地方公共団体は、政府が推進するe-Japan構想で実現しようとしている電子行政サービスの中でも、国民生,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,活、企業活動それぞれの面で身近な部分を多く受け持っている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　従って、中央省庁自身の電子化と、省庁と地方公共団体とを電子的につなげるネットワーク基盤の整備,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,（G to G）が進められた。電子自治体とは、国民に身近な行政の窓口の役割を担う電子サービスの提供手段,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,であり、地方公共団体が責任推進主体となる。そこで窓口の電子サービスを実現するため、政府内部事務の,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,電子化、政府と地方公共団体を結ぶネットワーク基盤が整備されてきた。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　具体的に、身近な行政サービスが目的とする行政サービスの効率化、情報サービスと住民参加などの内容,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,が課題となる。住民基本台帳法が改正され、2002年には住民基本台帳ネットワークシステム（「住基ネット」（,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,第1次））の運用が始まった。住基ネットにより、各種行政手続きで、住民票の写しの交付が受けられる。住基,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ネットは、電子政府・電子自治体を支える基盤として、なりすましや文書の改ざんなどを防止する公的個人認,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,証サービスの構築に大きな役割を占める。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 103,COBIT（Control Objectives for Information and related Technology）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　優れたITセキュリティ及びコントロール手続きを行うために、適用可能で認知された標準として提供される、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,情報テクノロジを管理するための標準。（Cobit3）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　COBIT（コビットと呼ばれる）は、米国の「ITガバナンス協会」が作成し提唱する、『ITガバナンス』の成熟度を,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,測るフレームワークである。組織が掲げる目標に対し、組織の総合的な実践能力を測る評価手法としても注,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,目されている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　COBITは、「プロセス」「IT資源」「情報基準」の3つの視点によりIT戦略立案から導入・運用までの一連の流れ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を、4つの管理プロセスと34のITプロセスに分け、それぞれのプロセスについて、CSF（Critical Success,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,Factor：重要成功要因）／KGI（Key goal indicator：重要目標達成指標）／KPI（Key Performance Indicator：重,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,要業績達成指標）を定義しており、その成熟度レベルを6段階で評価する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,COBITが定義している4つの管理プロセスと34のITプロセス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,１．企画・計画と組織,,,,,,,,,,,,,,,３．デリバリと支援,,,,,,,,,,,,,,,,,, ,,,,,・,戦略的IT計画の定義,,,,,,,,,,,,,,・,サービスレベルの定義と管理,,,,,,,,,,,,,,,, ,,,,,・,情報アーキテクチャの定義,,,,,,,,,,,,,,・,サードパーティのサービス管理,,,,,,,,,,,,,,,, ,,,,,・,技術指針の決定,,,,,,,,,,,,,,・,性能やキャパシティの管理,,,,,,,,,,,,,,,, ,,,,,・,IT組織の関係の定義,,,,,,,,,,,,,,・,継続的サービスの保証,,,,,,,,,,,,,,,, ,,,,,・,IT投資の管理,,,,,,,,,,,,,,・,システムセキュリティの保証,,,,,,,,,,,,,,,, ,,,,,・,管理目標と指針の伝達,,,,,,,,,,,,,,・,コストの識別と配賦,,,,,,,,,,,,,,,, ,,,,,・,人的資源の管理,,,,,,,,,,,,,,・,ユーザの教育・訓練,,,,,,,,,,,,,,,, ,,,,,・,外部要求事項への準拠性の保証,,,,,,,,,,,,,,・,顧客の支援と助言,,,,,,,,,,,,,,,, ,,,,,・,リスクの評価,,,,,,,,,,,,,,・,構成管理,,,,,,,,,,,,,,,, ,,,,,・,プロジェクト管理,,,,,,,,,,,,,,・,問題と障害管理,,,,,,,,,,,,,,,, ,,,,,・,品質管理,,,,,,,,,,,,,,・,データ管理,,,,,,,,,,,,,,,, ,,,,２．IT調達と開発,,,,,,,,,,,,,,,,・,設備管理,,,,,,,,,,,,,,,, ,,,,,・,自動化されたソリューションの検証,,,,,,,,,,,,,４．モニタリング,,,,,,,,,,,,,,,,,, ,,,,,・,アプリケーションソフトの調達・保守,,,,,,,,,,,,,,・,プロセスのモニタリング,,,,,,,,,,,,,,,, ,,,,,・,技術基盤の調達・保守,,,,,,,,,,,,,,・,『内部統制』の妥当性の獲得,,,,,,,,,,,,,,,, ,,,,,・,プロセスの開発・保守,,,,,,,,,,,,,,・,独立的保証の獲得,,,,,,,,,,,,,,,, ,,,,,・,システムの導入と『信頼性』の付与,,,,,,,,,,,,,,・,独立的監査の提供,,,,,,,,,,,,,,,, ,,,,,・,変更管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,成熟度レベル,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル５,,,,最適化されている,,,,,,,標準プロセスを改善・改良し、常に最適化された状態を維持している,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Optimized）,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル４,,,,管理されている,,,,,,,定義された標準プロセスに従って業務が進められているかモニタリング,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Managed）,,,,,,,している（また、その体制がある）,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル３,,,,定義されている,,,,,,,標準プロセスがきちんと定義され、組織としてそれを認証している,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Defined）,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル２,,,,反復可能,,,,,,,標準プロセスがあり、ほとんどがそのプロセスに従って業務をこなしてい,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Repeatable）,,,,,,,るが、遵守は個人に依存している,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル１,,,,初歩的,,,,,,,場当たり的な対処,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Initial）,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,レベル０,,,,存在しない,,,,,,,ルールや問題についての認識がない,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,（Non-Existent）,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 104,ビジネスプロセス（business process）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織体が特定の目的を達成するために行う一連の活動、および組織の内外で連続する活動や手続きの連,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,鎖のこと。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　ビジネスプロセスは、組織が戦略を実行するための具体的な手法であり活動そのものである。ビジネスプロ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,セスを業務プロセスとして細分化してとらえると技術開発、調達、製造、販売、アフターサービス、請求回収、物,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,流などの基幹業務プロセスと、財務経理、人材育成、IT活用や総務人事などの支援業務プロセスに分ける事,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ができる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織が活動する環境や競争条件が変化すると、組織は存続するために新しい環境に適応する『ビジネスモ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,デル』を作る。これがビジネスプロセスの再構築（BPR）であるが、従来手法の改善や不採算事業からの撤退、,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,新規事業への参入といった程度ではなく、企業の存続をかけた大規模な改革を指している。特に、インターネ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ットをはじめとする情報通信技術の急速な発展に伴い、時間や距離の概念が大きく変わった1990年代の後半,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,以降、企業では製造拠点や販売物流の手法が大きく変わってきた。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　これは、事業を継続する組織体が、ビジネスプロセスとして情報通信技術の導入と活用方法を工夫して大き,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,く変化させながら、コストの発生と付加価値を創造するプロセスを冷静に見極めるようになってきたことを意味,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 105,プロジェクトマネジメント（project management）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□定義,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　組織やチームに課せられた課題を目標期日までに達成するために全体と個々の目標成果を明らかにし、特,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,定スキルを持つ人材、設備などを有効活用して日程、品質、予算やコストを最適化する手法。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,□解説,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　プロジェクトマネジメントとは、使命を達成するための有期的なチームを編成して、プロジェクトを公正な専門,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,的手段で効率的、効果的に遂行して、確実な成果を獲得する実践的能力の総称。通常業務との違いは、目標,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,とする成果は定型的でなく独創的なもので特定使命を受けて実施されること。また始まりと終わりのある特定,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,期間に、資源、状況など、特定の制約条件のもとで達成を目指す、将来に向けた価値創造事業である。日本,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,のPM実践と研究では、大きく分けると次の5つの流れがある。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,情報処理技術者試験プロジェクトマネージャ（通産省、スキル標準に基づく）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,PMBOK（米国PMI（Project Management Institute)),,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,P2M（NPOプロジェクトマネジメント資格認定センター）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④,ISO10006（ISO）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤,各組織が実施する固有のプロセス管理手法（独自ノウハウ）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　どの手法に準拠すれば最も効果的に推進できるかは、プロジェクトの大きさや範囲（技術やスキル、開発な,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ど特定業務、社内、国内、国際など）に関わってくる。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　スキル標準では、プロジェクトマネジメントの職種を「プロジェクトの立ち上げ、計画策定、遂行及び進捗管理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,を実施し契約上の納入物にも責任をもつ」と定めている。IT投資プロセスでは、戦略的情報化企画（課題整理,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,/分析（ビジネス/IT）、ソリューション設計（構造/パターン））、開発（コンポーネント設計（システム/業務）、ソリ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,ューション構築（開発/実装））及び運用・保守（ソリューション運用（システム/業務）、ソリューション保守（シス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,テム/業務））を主な活動局面として以下を実施する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,□戦略的情報化企画,,,,,,,,,・基本計画の策定,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,・管理/統制,,,,,,,,,,,,,,,,,,,,,,,, ,,,,□開発,,,,,,,,,・管理/統制,,,,,,,,,,,,,,,,,,,,,,,, ,,,,□運用・保守,,,,,,,,,・管理/統制,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　また、PMBOK（Project Management Body of Knowledge、通称ピンボクと呼ばれる）では、プロジェクトマネジ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,メントに必要な知識エリアとして次の9領域を定めている。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,①,統合マネジメント（計画策定、実行、全体の変更管理）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,②,スコープマネジメント（立上げ、計画、定義、検証・承認、変更管理、WBS、EVM）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,③,タイムマネジメント（アクティビティ定義、順序、期間見積、スケジュール作成、スケジュールコントロール,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,④,コストマネジメント（資源計画、コスト見積、予算化、コストコントロール）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑤,品質マネジメント（品質計画、品質保証、品質管理）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑥,人的資源マネジメント（組織計画、要員調達、チーム育成）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑦,コミュニケーションマネジメント（計画、情報配布、実績報告、完了）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑧,リスクマネジメント(計画、定性的リスク分析、定量的リスク分析、リスク対応計画、コントロール）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,⑨,調達マネジメント（計画、引合、発注先選定、契約管理、契約完了）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,　このようにプロジェクトマネジメントでは、活動を分割して異なる視点から評価しながら調整することが目標達,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,成に有効である。最近は当初計画と実績の違いをEVM手法により評価指標を用いて分析評価することが評価,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,されているので次に紹介する。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,□EVM（Earned Value Method、ア―ンドバリュー技法）,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,　PJの実績を達成した価値により測定する手段で、コストや所要時間、品質の見積りやパフォーマンス,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,分析に活用する。EVMでは、次の情報を元に、スケジュールとコストの実績状況を同一尺度で比較する,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,。,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,EVM計算の例,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,PV,,,計画価値。計画された作業に対する予算化されたコスト。（Planned Value),,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,EV,,,ア―ンド・バリュー（Earned Value）。ある特定の時点で完了している作業に対する計画上の,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,予算化されたコスト,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,AC,,,実コスト（Actual Cost）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,BCWS,,,期間予算（Budgeted Cost of Work Scheduled）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,BCWP,,,出来高（Budgeted Cost of Work Performed）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,ACWP,,,実績コスト（Actual Cost of Work Performed）,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,評価の例：,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,コスト差異（CV：Cost Variance）　CV　＝　EV　－　AC　マイナスの場合はコスト超過,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, ,,,,,,BCWP>BCWS　進捗が早い、BCWP