会員番号 2782 大谷英徳(近畿支部)
1.テーマ 「システム監査の基本、および、監査プロセスの概要について」
2.講師
【講義の部】大谷 英徳(近畿支部)
【演習の部】大谷 英徳(近畿支部)
3.開催日時 2024 年 9 月 18 日 (水) 13:30~17:00
4.開催場所 福井県越前市役所 会議室
5.講座概要
越前市において内部監査として実施している「情報セキュリティ監査」実施にあたり、市のIT部門である情報政策課職員の監査スキル向上を目的として「システム監査の基本」及び「課題演習」の二部構成のセミナーを開催しました。
【講義の部】
システム監査の手順と技法概説
【演習の部】
「テレワーク・情報セキュリティ・IT-BCPに関する多肢選択問題」による演習および「情報処理技術者試験(過去問題)」を題材としたシステム監査の演習本セミナーでは、システム監査の理論だけでなく、講師の実務ノウハウを含めた「システム監査の基本」について解説しました。
【講義の部】
システム監査の手順と技法概説
・システム監査とは
「監査」および「システム監査」とは何かについて述べた後、「システム監査」と「情報セキュリティ監査」の対象範囲ついて、また「保証型監査」と「助言型監査」の考え方について解説し、システム監査の枠組みについて理解を促した。
・システム監査実施手順について
システム監査は、①監査計画→②予備調査→③本調査→④評価・結論→⑤監査報告→⑥フォローの順で実施し、工程ごとに残すべきアウトプットが存在する。これらの手順について、講師の経験も踏まえて出来るだけ具体的に説明した。
① 監査計画においては、監査の依頼内容に基づき実施計画を策定する。監査目的を正確に把握するために、トップインタビューや現状調査等を行い、具体的な監査テーマの設定や監査計画(個別計画)を作成する。
② 予備調査では、被監査部門からのインタビュー、アンケートやマニュアル類等の情報収集により監査対象の業務概要を把握し、「監査手続」の内容を整理するとともにチェック項目を整備する。
③ 本調査では、「監査手続」に従って、監査対象のコントロールを検証し、客観的な監査証拠に基づいて問題点を抽出し、問題がHW、SW、要員、手続等のどこに起因するのかを明確にする。本調査における確認結果は「監査調書」としてまとめるが、監査チェックリストに調書欄を追記して記載する方法もある。
④ 評定では、予備調査・本調査で収集した監査証拠を整理分析し、監査対象のコントロール状況を評価する。監査項目の評価においては、予め準備しておいた評価基準や項目ごとの重み付けを設定しておき、監査結果を定量化して示すことが有効である。評価結果として、問題点・指摘事項評価点等を記録する。
⑤ 監査報告では、監査手続で入手した監査証拠や監査人が発見した事実に基づいて行った評価・結論をまとめ監査報告書原案を作成する。作成した原案に基づいて、関係部署に事実誤認の有無や改善勧告レベル等について意見交換を行い、それらを踏まえてシステム監査報告書を完成させる。
⑥フォローでは、改善すべき指摘事項がある場合は、指摘事項の改善状況を確認する。フォロー監査の実施や、定期的に改善状況を監査に報告を求める。
日本システム監査人協会と公認システム監査人の紹介と、講義の最後に今後のシステム監査の重要性について述べて締めくくった。
【演習の部1】
テレワーク・情報セキュリティ・IT-BCPに関する着眼点の基礎演習
モバイル環境やテレワーク環境における情報セキュリティ・IT-BCPの基礎に関する多肢選択式問題10問を解く演習を実施。演習解答の説明と、情報セキュリティの留意点等について講師より解説。
【演習の部2】情報処理技術者試験(午後Ⅰ過去問題)を題材としたシステム監査の演習
平成28年度試験 午後Ⅰ 問1「情報セキュリティインシデント対応状況の監査」を題材に受講者に出題。まず、講師から「問題文の読み方」についての説明があり、各自で問題の読込を行った。その後講師から解答の解説を行った。。
<受講者アンケート内容(抜粋)>
6.所感
越前市様では、これまでも情報セキュリティ監査を実施してきており、今年度は職員の監査スキル向上を目指して本セミナーを受講いただきました。そのためセミナーではシステム監査の基本的な内容に加え、講師の経験や失敗談も解説に盛り込むことで、より実践的なセミナーになる様に努め、受講者アンケートの回答からも、概ねご理解いただけたように思われます。【演習の部2】について、当初の予定ですと受講者をグループ分けしてグループ討議を行い、討議を通じて受講者の理解が深まることを期待していました。しかし受講人数が少ないためグループ討議は行わず各人で解答を考察して、発表してもらう形式を採用しました。しかしながら情報処理技術者試験午後Ⅰの過去問のうちCSIRTを題材に選んだことで、関心をもって取り組んでもらえたようで、個々の受講者から積極的な解答を頂き、講師の解答解説の際も活発な質疑応答を行うことができ、当初の目的は達成することができたと思われます。
地方公共団体においては更なる行政サービスや事務のデジタル化やDXへの取り組みが必要となっており、これらを実現するために「情報セキュリティの確保」は不可避の取組みと考えられます。今後は越前市様同様に他の地方公共団体にとってもこのような取り組みが活性化するよう当協会においても、積極的に情報の発信や地方公共団体への働きかけを行っていく必要があると感じた次第です。
以上