近畿支部 システム監査 基本学習セミナー(報告者:荒町 弘)

会員番号 1709 荒町 弘(近畿支部)

1.テーマ 「システム監査の基本、および、監査プロセスの概要について」
2.講師
【講義の部】三橋 潤 氏(近畿支部)

【演習の部】浦上 豊蔵 氏(近畿支部)
3.開催日時  2021 年 7 月 19 日 (月) 13:00~17:00
4.開催場所  福井県越前市役所 会議室
5.講座概要

越前市において内部監査として実施している「情報セキュリティ監査」実施にあたり、市のIT部門である情報政策課職員の監査スキル向上を目的として「システム監査の基本」及び「課題演習」の二部構成のセミナーを開催しました。
【講義の部】 システム監査の手順と技法概説
【演習の部】 情報処理技術者試験(過去問題)を題材としたシステム監査の演習
本セミナーでは、システム監査の理論だけでなく、講師の実務ノウハウを含めた「システム監査の基本」について解説しました。

【講義の部】システム監査の手順と技法概説

・システム監査とは

「監査」および「システム監査」とは何かについて述べた後、
2018年に改定されたシステム管理基準・監査基準では、経営
陣及びITマネジメントを担当部門を含めたITマネジメントの
考え方が示されたこと等について解説。
また、「システム監査」と「情報セキュリティ監査」の対象範囲は重複する部分があるものの、システム
監査の方が広く、情報システムそのものだけでなく、情報システムに関係する業務すべてを対象としていることについて解説。

・システム監査実施手順について

システム監査は、①監査計画→②予備調査→③本調査→④評価・結論→⑤監査報告の順で実施し、各工程ごとに残すべきアウトプットが存在する。これらの手順について説明。

① 監査計画においては、監査の依頼内容に基づき実施計画を策定する。監査目的を正確に把握するために、トップインタビューや現状調査等を行い、具体的な監査テーマの設定や監査計画(個別計画)を作成する。
② 予備調査では、被監査部門からのインタビュー、アンケートやマニュアル類等の情報収集により監査対象の業務概要を把握し、「監査手続」の内容を整理するとともにチェック項目を整備する。
③ 本調査では、「監査手続」に従って、監査対象のコントロールを検証し、客観的な監査証拠に基づいて問題点を抽出し、問題がHW、SW、要員、手続等のどこに起因するのかを明確にする。本調査における確認結果は「監査調書」としてまとめるが、監査チェックリストに調書欄を追記して記載する方法もある。
④ 評価・結論では、予備調査・本調査で収集した監査証拠を整理分析し、監査対象のコントロール状況を評価する。監査項目の評価においては、予め準備しておいた評価基準や項目ごとの重み付けを設定しておき、監査結果を定量化して示すことが有効である。評価結果として、問題点・指摘事項評価点等を記録する。
⑤ 監査報告では、監査手続で入手した監査証拠や監査人が発見した事実に基づいて行った評価・結論をまとめ監査報告書原案を作成する。作成した原案に基づいて、関係部署に事実誤認の有無や改善勧告レベル等について意見交換を行い、それらを踏まえてシステム監査報告書を完成させる。

 システム管理基準等をExcel化して、予備調査や本調査の調査内容を記入できる様式の監査チェックリストを作成しておくと有効なツールとなる。このツールを活用すれば、予備調査の結果から本調査へ進む管理項目が簡単にわかるなど、監査作業を効率できる以外に、分析や成熟度評価にも利用可能となるといったメリットがある。

・システム監査の手法・技法

 監査技法には多くの技法があるが、主に活用する技法としては、チェックリスト法、ドキュメントレビュー法、突合・照合法、現地調査法、インタビュー法などがある。

・効果のあるシステム監査

 企業経営に役立つシステム監査において重要となるポイントおよびシステム監査とコンサルティングの違いとは何か、について説明し講義の部を締めくくった。

【演習の部】情報処理技術者試験(過去問題)を題材としたシステム監査の演習

(1)午前Ⅱ 選択式問題を例に演習と解説

 システム監査手順、監査証拠、改善勧告、ITACとITGC、試査・サンプリングに関する過去問題を受講者に出題。実際の試験における制限時間を体感できるように、時間計測し、時間内で問題を解く形式で実施した。問題の解説だけで無く、講師から内部統制に係わるシステム管理基準(追補版)および運用評価のサンプリングについて、補足資料による解説が行われた。

(2) 午後I 記述式問題を例に演習と解説

 直近4年の出題テーマについての説明後、そのうちの1問、「基幹システムのオープン化の監査」に関する問題を受講者に出題。まず、講師から「問題文の読み方」についての説明があり、各自で問題の読込を行った。その後、2つのグループに分かれ、問題を解く過程の理解を深められるように、討議を行い、グループごとに解答をまとめ、提出していただいた。
最後に講師から、グループごとの答案の紹介および解答の解説が行われた。

6.受講者アンケート内容(抜粋)

7.所感

越前市では、これまでも情報セキュリティ監査を実施してきており、今年度は職員の監査スキル向上を目指して本セミナーを受講いただきました。受講者は今年入庁された方からベテランの方まで幅広い年齢層の方がおられたため、セミナー内容の理解度や教材の難易度評価については幾分ばらつきはありますが、システム監査を理解し、監査を行うにあたっての考え方や着眼点を学んでいただくという点では一定の評価を得ることができたと考えます。また、「情報セキュリティ監査を行う」という今年度の監査テーマを設けている状況を考えると、情報セキュリティ監査事例を盛り込んだ演習課題を設けることで、より実践的なセミナーとすることが出来るという理解にも至りました。本セミナーは準備期間を設けることが出来なかったため、近畿支部主催の過去のセミナー教材を元に実施しましたが、個別セミナーに向けた分野別教材の準備についてセミナーグループとしても本経験を参考にしたいと思います。
地方公共団体の情報セキュリティについては、令和2年12月28日に総務省より「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和2年12月版)」が公表されており、これとあわせて「地方公共団体における情報セキュリティ監査に関するガイドライン」も公表されました。政府がビジョンを示す「デジタル社会の実現」に向け、地方公共団体においては更なる行政サービスや事務のデジタル化とデジタルトランスフォーメーションが必要となっており、これらを実現するために「情報セキュリティの確保」は不可避の取組みであります。
越前市における情報セキュリティ監査への取り組みは、全国の地方公共団体の中において先進的であると考えます。今後、他の地方公共団体にとってもこのような取り組みが活性化するよう当協会においても、積極的に情報の発信や地方公共団体への働きかけを行っていく必要があると感じた次第です。

以上