2025年度越前市様セミナー(報告者:大谷英徳)

by .

会員番号 2782 大谷英徳(近畿支部)

1.テーマ 「システム監査人養成セミナー2025」
2.講師
【講義の部】大谷 英徳(近畿支部)
【演習の部】荒町 弘(本部副会長)、谷口 憧伍、大谷 英徳(近畿支部)
3.開催日時  2025 年 9 月 29 日 (月) 13:10~16:55
4.開催場所  福井県越前市役所 会議室
5.講座概要

越前市において内部監査として実施している「情報セキュリティ監査」実施にあたり、市のIT部門である情報政策課職員の監査スキル向上を目的として「システム監査の基本」及び「システム監査模擬演習」の二部構成のセミナーを開催しました。
【講義の部】 システム監査の手順と技法概説
【演習の部】 セミナー参加者がシステム監査人となって、模擬的にシステム監査を実施

1)【講義の部】システム監査の手順と技法概説

・システム監査とは
「監査」および「システム監査」とは何かについて述べた後、「システム監査」と「情報セキュリティ監査」の対象範囲ついて、また「保証型監査」と「助言型監査」の考え方について解説し、システム監査の枠組みについて理解を促した。
・システム監査基準とシステム管理基準
システム監査を行う指針として経済産業省が定めた「システム監査基準」と「システム管理基準」がある。前者は監査人の行為規範および監査手続きを規定しており、後者はシステム監査人の判断の尺度を規定している。
・システム監査実施手順について
システム監査は、①監査計画→②予備調査→③本調査→④評価・結論→⑤監査報告→⑥フォローの順で実施し、工程ごとに残すべきアウトプットが存在する。これらの手順について、講師の経験も踏まえて出来るだけ具体的に説明した。
① 監査計画においては、監査の依頼内容に基づき実施計画を策定する。監査目的を正確に把握するために、トップインタビューや現状調査等を行い、具体的な監査テーマの設定や監査計画(個別計画)を作成する。
② 予備調査では、被監査部門からのインタビュー、アンケートやマニュアル類等の情報収集により監査対象の業務概要を把握し、「監査手続」の内容を整理するとともにチェック項目を整備する。
③ 本調査では、「監査手続」に従って、監査対象のコントロールを検証し、客観的な監査証拠に基づいて問題点を抽出し、問題がHW、SW、要員、手続等のどこに起因するのかを明確にする。本調査における確認結果は「監査調書」としてまとめるが、監査チェックリストに調書欄を追記して記載する方法もある。
④ 評定では、予備調査・本調査で収集した監査証拠を整理分析し、監査対象のコントロール状況を評価する。監査項目の評価においては、予め準備しておいた評価基準や項目ごとの重み付けを設定しておき、監査結果を定量化して示すことが有効である。評価結果として、問題点・指摘事項評価点等を記録する。
⑤ 監査報告では、監査手続で入手した監査証拠や監査人が発見した事実に基づいて行った評価・結論をまとめ監査報告書原案を作成する。作成した原案に基づいて、関係部署に事実誤認の有無や改善勧告レベル等について意見交換を行い、それらを踏まえてシステム監査報告書を完成させる。
⑥フォローでは、改善すべき指摘事項がある場合は、指摘事項の改善状況を確認する。フォロー監査の実施や、定期的に改善状況を監査に報告を求める。
これら説明した監査手順の理解を深めるため、システム監査技術者試験の午前Ⅱの問題から関連する問題を抜粋して簡単な確認テストを実施した。
 最後に日本システム監査人協会と公認システム監査人の紹介をして締めくくった。

2)【演習の部】

セミナー参加者は架空の自治体A市のシステム監査人になっていただき、講師側が被監査部門担当者となり、セミナー参加者からシステム監査を受ける想定で、模擬的演習を行った。主としてセミナー参加者からはヒアリングを受ける形式で、監査人としての質疑を体験していただき、被監査人の回答から導き出されるリスク、およびそのリスクを低減するための提言案などを検討し、それを監査調書にまとめていただいた。

<受講者アンケート内容(抜粋)>

6.所感

 越前市様では、これまでも情報セキュリティ監査を実施してきており、職員の監査スキル向上を目指して本セミナーを受講いただきました。今回は講義の部で監査手順の理解の定着を図ることを主眼に、システム監査技術者試験から抜粋した設問を使って簡単な確認テストを実施しました。概ね参加者からは的確に解答をいただき講義の部の内容をご理解いただいたようでした。また、演習の部では従来の試験問題演習ではなく、システム監査実施場面のうち、被監査部門へのヒアリングおよび監査調書のまとめを体験いただくこととしました。質疑の内容や調書のまとめについて、初めての体験の参加者もおられたが、概ね的確な質問内容であり、調書についても想定されるリスクおよびそのリスクに対する提言も的を射たものでした。またアンケート結果からも演習形式に対して好意的な意見も出されており、当初の目的は達成することができたと思われます。
 地方公共団体においては更なる行政サービスや事務のデジタル化やDXへの取り組みが必要となっており、これらを実現するために「情報セキュリティの確保」は不可避の取組みと考えられます。今後は越前市様同様に他の地方公共団体にとってもこのような取り組みが活性化するよう当協会においても、積極的に情報の発信や地方公共団体への働きかけを行っていく必要があると感じた次第です。

以上